016 


Windows 


Server 
Active Directory 配 置 指南 


戴 有 炜 编著 


se 独家 讲述 实用 的 Active Directory 域 服务 (AD DS) 配置 专题 
se 导入 虚拟 技术 ， 一 台电 脑 便 可 以 拥有 完整 的 虚拟 网 络 环境 
充分 掌握 Active Directory 域 服务 的 完整 知识 

里 Server Core 与 Nano Server 配 置 全 攻略 


里 微软 MCSM、MCSE、MCSA 与 MTA 等 认证 考试 的 实用 参考 书 。 
太 渡 革 大 学 出 版 社 


2UjO 


Windows 


Server 
Active Directory 配 置 指南 


戴 有 炜 编著 


斌 鞋 大 学 出 版 社 
北京 


内 容 简 介 


本 蔬 由 音 湾 知名 的 微软 技术 专家 戴 有 炜 先生 倾 力 编著 ， 是 他 最 新 推出 的 Windows Server 2016 三 卷 
力作 中 的 Acetive Directory 配置 指南 篇 。 

本 书 延续 了 作者 的 一 贯 写 作风 格 : 大 量 的 实例 演示 兼 具 理论 ， 以 及 完整 清晰 的 操作 过 程 ， 以 简单 
易 懂 的 文字 进行 描述 ， 内 容 丰 语 ， 图 文 并 茂 。 本 书 共 分 13 章 ， 内 容 包括 Active Directory 域 服务 ， 建 立 
AD DS 域 、 域 用 户 与 组 账户 的 管理 、 利 用 组 策略 管理 用 户 工 作 环境 、 利 用 组 策略 部 署 软件 、 限 制 软件 
的 运行 建立 域 树 利 林 、 管 理 域 和 林 信任 、AD DS 数据 库 的 复制 、 操 作 主 机 的 管理 、AD DS 的 维护 、 
将 资源 发 布 到 AD DS 以 及 自动 信任 根 CA。 

本 囊 面向 广大 初 、 中 级 网 络 技术 人 员 、 网 络 管 理 和 维护 人 员 ， 也 可 作为 高 等 院 校 相 关 专 业 和 技术 
抄 训 班 的 教学 用 书 ， 同 时 可 以 作为 微软 认证 考试 的 参考 用 书 。 


本 书 为 莫 峰 资讯 股份 有 限 公司 授权 出 版 发 行 的 中 文 简体 字 版 本 。 
北京 市 版 权 局 著作 权 合同 登记 号 ”图 字 ; 01-2018-2281 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 ， 侵 权 举 报 电话 :010-62782989 13701121933 


图 书 在 版 编目 【CIP) 数据 


Windows Server2016 Aetive Direetory 配置 指南 / 戴 有 炜 编著 一 北京 : 清华 大 学 出 版 社 ，2019 
1SBN 978-7-302-51796-2 


上 加 W… 1 加 戴 … IT. @Windows 操作 系统 一 网 络 服务 器 V. CDTP316.86 
中 国 版 本 图 书馆 CIP 数据 核 字 〈2018? 第 269762 号 


本 : 清华 大 学 出 版 社 


网 址 : httpW/www.tup.comcn，http:Wwww.wqboak.com 
地 ” 址 : 北京 清华 大 学 学 研 大 厦 A 座 邮编 : 100084 
社 总 机 :010-62770175 邮购 ，010-62786544 


投稿 与 读者 服务 :010-62776969，c-service@up tsinghuaedu.cn 
质 量 反 馈 ; 010-62772015，zhiliang@tuptsinghuaedu.en 


印 装 者 : 清华 大 学 印刷 厂 

经 销 : 全 国 新 华 书店 

开 本 : 190mmx260mm 印张: 25.75 字数 :659 干 字 

版 ”次 : 2019 年 2 月 第 1 版 印 次 : 2019 年 2 月 第 1 次 印刷 
定价 : 89.00 元 


产品 编号 : 079763-01 


序 


首先 要 感谢 读者 长 期 以 来 的 支持 与 爱护 ! 这 一 系列 书籍 仍然 采用 我 一 贯 秉承 的 编写 风 
格 ， 也 就 是 完全 站 在 读者 立场 思考 ， 并 且 以 务实 的 观点 来 改编 升级 这 三 本 Windows Server 
2016 书 籍 。 我 花费 了 相当 多 的 时 间 在 不 断 地 测试 与 验证 书 中 所 述 内 容 ， 并 融合 多 年 的 教学 经 
验 ， 以 最 容易 让 你 理解 的 方式 将 其 写 到 书 中 ， 和 希望 能 够 帮助 你 快速 地 学 会 Windows Server 
2016。 


本 套 书 的 宗旨 是 希望 能 够 让 读者 通过 书 中 丰富 的 示例 与 详尽 的 实用 操作 来 充分 了 解 
Windows Server 2016， 进 而 能 够 轻松 地 管理 Windows Server 2016 的 网 络 环境 ， 因 此 书 中 不 但 
理论 解说 清晰 ， 而 且 范 例 充 足 。 对 需要 参加 微软 认证 考试 的 读者 来 说 ， 这 套 书 更 是 不 可 或 缺 
的 实用 参考 手册 。 


学 习 网 络 操作 系统 ， 首 当 其 冲 注重 动手 实践 ， 唯 有 实际 演练 书 中 所 介绍 的 各 项 技术 ， 才 
能 充分 了 解 与 掌握 它 ， 因 此 建议 使 用 Windows Server 2016 HyperV 等 提供 虚拟 技术 的 软件 来 
搭建 书 中 的 网 络 测试 环境 。 


本 套 书 分 为 《Windows Server 2016 Active Directory 配 置 指 南 》 《Windows Server 2016 系 
统 配置 指南 》 《Windows Server 2016 网 络 管理 与 架 站 》 三 本 ， 内 容 丰 富 翔实 ， 相 信 这 几 本 书 
仍然 不 会 负 你 的 期 望 ， 在 学 习 Windows Server 2016 时 给 予 你 最 大 的 帮助 。 

感谢 所 有 让 这 套 书 能 够 顺利 出 版 的 朋友 们 ， 他 们 给 予 宝贵 的 意见 、 帮 助 版 面 编排 、 支 持 
技术 审 校 、 出 借 测 试 设备 或 提供 软件 资源 等 方面 的 协助 。 


戴 有 炳 


第 2 章 


目 录 


ActveDireato 以 域 服务 《AD DS》 sasaariianiiiiaiaairieaRaaaiSRaaniiaaniiaoaaaet 1 


Active Directory 域 服务 概述 … 
1.1.1 Active Directory 域 服务 的 适用 范围 (Scope ) 
1.1.2 名 称 空间 ( Namespace ) .. 2 
1.1.3 对 象 (Object ) 与 属性 (Attribute ) ， 5 
1.1.4 容器 (Container ) 与 组 织 单 位 ( Organization Units，OU ) 
1.1.5 域 树 (Domain Tree ) 
1.1.6 信任 (Trust) 
1.1.7 林 (Forest) 

1.1.8 架构 (Schema ) 
1.1.9 域 控制 器 ( Domain Controller ) .………- 
1.1.10 只 读 域 控制 器 (RODC ) .ee 
1.1.11 可 重启 的 AD DS (Restartable AD DS) 
1.1.12 ”Active Direetory 回收 站 .ee 
1.1.13 ADDS 的 复制 模式 …- 
1.1.14 域 中 的 其 他 成 员 计算 机 
1.1.15 DNS 服务 器 . 
1.1.16 “轻型 目录 访问 协议 (LDAP) 
1.1.17 ”全 局 编 录 ( Global Catalog ) .…… 
L1.18 站 点 【Site) .se 
1.1,19 目录 分 区 (Directory Partition ) …. 
域 功能 级 别 与 林 功 能 级 别 … 到 
1.2.1 域 功能 级 别 ( Domain Functionality Level) 
1.2.2 林 功 能 级 别 (Forest Functionality Level ) 
Active Directory 轻型 目录 服务 


不 
S 
S 
1 
6 
7 
9 
9 
5 


二 三 


已 


了 


省 迹 为 B PS 媳 ae 17 


建立 AD DS 域 前 的 准备 工作 ， 
2.1.1 选择 适当 的 DNS 域名 .. 


二 | Windows Server 2016 Active Directory 配置 指南 


3 芝 
2.3 


2.4 
25 


2.6 


2.7 


2.8 
29 


第 3 章 


3.1 


2 准备 好 一 台 支 持 ADIDS 的 DNS 服务 器 Lasaiaaaacacaaaaawaasamaeetmeeoooord 18 
2.13 选择 AD DS 数据 库 的 存储 位 置 
建立 AD DS 域 .… 
确认 AD DS 域 是 否 正 ? 

2.3.1 检查 DNS 服务 器 内 的 记录 是 否 完备 
2.3.2 排除 注册 失败 的 问题 .ee 
2.33 检查 AD DS 数据 库 文件 与 SYSVOL 文件 志 
234 者 镜 的 管理 二 拓 erreiemoeonre 
2.3.5 查看 事件 日 志文 件 
提升 域 与 林 功 能 级 别 
新 建 额 外 域 控制 器 与 RODC 
2.5.1 安装 额外 域 控制 器 
2.5.2 ”利用 安装 媒体 来 安装 额外 域 控制 器 . 
2.53 更 改 RODC 的 委派 与 密码 复制 策略 设置 , 
Ron 防身 式 胡 贱 warnaapeiianiirniiiianiiniaaia 
2.6.1 建立 RODC 账户 
2.6.2 将 服务 器 附加 到 RODC 账户 
将 Windows 计算 机 加 入 或 脱离 域 . 
2.7.1 将 Windows 计 算 机 加 入 域 
2.7.2 利用 已 加 入 域 的 计算 机 登录 
2.73 脱 机 加 入 域 . 
2.7.4 脱离 域 ，.。 
在 域 成 员 计算 机 内 安装 AD DS 管理 工具 
删除 域 控制 器 与 域 esessssssassessens 


城 用 卢 互 组 王 卢 的 管理 怀 。 RE 66 


管理 域 用 户 账 户 - 
3.1.1 创建 组 织 单 
3.1.2 用 户 登 录 账 疡 . 
3.13 创建 UPN 后 组 
3.1.4 账户 的 常规 管理 工作 … 
3.1.5 域 用 户 账户 的 属性 设置 
3.1.6 搜索 用 户 账 户 ee 
3.1.7 域 控制 器 之 间 数 据 的 复制 


域 用户 账 户 


3.2 ”一 次 同时 新 建 多 个 用 户 账户 


3.2.1 
3.2.2 
3:23 


3.3 域 组 账户 


3.3.1 
3.3.2 
3 
3.3.4 
3.3. 


3.4 组 的 使 用 原则 


3.4.1 
3.4.2 
3.4.3 
3.4.4 


利用 csvde'exe 来 新 建 用 户 账户 
利用 ldifde.exe 来 新 建 、 修 改 与 删除 用 户 账户 . 
利用 dsadd.exe 等 程序 添加 、 修 改 与 删除 用 户 账户 . 


域内 的 组 类 型 . 
组 的 作用 域 . 
域 组 的 创建 与 管理 
AD DS 内 置 的 组 . 
特殊 组 账户 . 


A、G、DL、P 原 则 . 
A、G、G、DL、P 原则 .. 
A、G、U、DL，、P 原则 .. 
第 风 人 


第 4 章 ， 利 用 组 策略 管理 用 户 工作 环境 93 
Si 手 流 财 机 壕 ,aeaseREieeEaEEEs 全 定语 富 二 商 生 训 噩 让 站 二 让 语 和 六 二 二 二 二 二 二 才 


4.1.1 
4.1.2 
4.1.3 
4.1.4 


4.2， 策略 设 置 实例 演练 2 
42.1 策略 设置 实例 演练 一 : 计算 机 配置 . 


4.2.2 


4.3 首选 项 设置 实例 演练 . 


4.3.1 
432 


44 组 策略 的 处 理 规则 .…. 


4.4,1 
4.42 
4.4.3 
4.44 
4.4.5 


组 策略 的 功能 . 
组 策略 对 象 ， 
策略 设置 与 首选 项 设置 
组 策略 的 应 用 时 机 


策略 设置 实例 演练 二 : 用 户 配置 


首选 项 设置 实例 演练 一 
首选 项 设置 实例 演练 二 


一 般 的 继承 与 处 理 规则 
例外 的 继承 设置 
特殊 的 处 理 设置 
更 改 管理 GPO 的 域 控制 器 
更 改组 策略 的 应 用 间隔 时 间 


-- 启 Windows Server 2016 Active Directory 配置 指南 


4.5 


4.6 
4.7 
48 
4.9 


利用 组 策略 来 管理 计算 机 与 用 户 环境 .eeerreeersareensiasnsannsnrnsrssssses124 
4.5,1 计算 机 配置 的 管理 模板 策略 
4.5.2 用 户 配 置 的 管理 模板 策略 .… 
4.5.3 账户 策略 .ee 

4.5.4 用 户 权限 分 配 策略 
4.5.5 安全 选项 策略 .es 
4.5.6 登录 /注销 、 局 动 /关机 脚本 . 
4.5.7 文件 夹 重 定向 
利用 组 策略 限制 访问 可 移动 存储 设备 
组 策略 建 模 与 组 策略 结果 
组 策略 的 委派 管理 …… 
4.9.1 站 点 、 域 或 组 织 
4.9.2 编辑 GPO 的 委派 
4.9.3 新 建 GPO 的 委派 


GPO 链接 委派 


本 19， SarGPGQ 的 设置 与 使 用 忆 ssse aseeyoss oanacaiaaiaaalsicaialaaaiaaaiaaiiiaaaiaiiaaiaaaaiaiice 157 
并 亲 :利用 让 第 隔 趣 轨 软 入 ,warweeweeewRapeewoororepeeeo 159 
5.1 软件 部 署 概述 


i 


53 


5.4 
5.5 


5.1.1 将 软件 分 配给 用 
5.1.2 ”将 软件 分 配给 计算 机 -. 
5.1.3 ”将 软件 发 布 给 用 户 . 
5.1.4 自动 修复 软件 
5.1.5 删除 软件 .………- 
将 软件 发 布 给 用 户 
5.2.1 发 布 软件 .…- 
5.2.2 客户 端 安装 被 发 布 的 软件 … 
5.2.3 测试 自动 修复 软件 的 功能 .… 
5.2.4 取消 已 发 布 的 软件 

将 软件 分 配给 用 户 或 计算 机 
5.3.1 分 配给 用 户 .… 
5.3.2 分 配给 计算 机 
将 软件 升级 
部 署 Adobe Acrobat,. 


第 6 章 


6. 


6.2 


第 7 章 


7.1 
7.2 


7.4 
7.5 


第 8 章 
8. 


8.2 
8.3 


芭 千 1 区 于 攻 抽 了 onceokAHRwpaGREA Eee 络 0 
5 和 和 174 


| 177 


软件 限制 策略 概述 
6.1.1 哈 希 规则 ,… 
6.1.2 ”证书 规 则 .… 
6.1.3 路 径 规 则 .… 
6.1.4 网 络 区 域 规则 …- 
6.1.5 规则 的 优先 级 … 
启用 软件 限制 策略 … 
6.2.1 建立 哈 希 规则 
6.2.2 ”建立 路 径 规 则 
6.2.3 ”建立 证 书 规则 
6.2.4 建立 网 络 区 域 规则 .eeessrsreorcnnenrnsnssnn 
6.2.5 不 要 将 软件 限制 策略 应 用 到 本 地 系统 管理 员 .. 


人 光一 请 
建立 子 域 
建立 林 中 的 第 三 个 域 树 
7.3.1 选择 适当 的 DNS 架构 
7.3.2 建立 第 二 个 域 树 
删 除 子 域 与 域 树 

更 改 域 控制 器 的 计算 机 名 称 


管理 域 与 棒 述 钰 :1 生生 生计 二 二 相让 让 让 让 3 全 各 二 在家 和 下 二 二 214 


天 各 洒 信 村民 二: 
8.1.1 ”信任 域 与 受信 任 域 
8.1.2 跨 域 访问 资源 的 流程 . 
8.1.3 信任 的 种 类 :seen 
8.1.4 建立 信任 前 的 注意 事项 .. 
建立 快捷 方式 信任 .. 
建立 林 信任 


是 号 Windows Server 2016 Active Directory 配置 指南 


8.4 
8.5 


第 9 章 


圆 内 


9.1 


22 


9.3 


9.4 


9.5 


是 营 玛 条 信 和 华 前 的 注 素 理光 全 到 9 
8.3.2 ”开始 建立 林 信任 .…- 
8.3.3 ”选择 性 身份 验证 设置 
建立 外 部 信任 . 
管理 与 删除 信任 . 
8.5.1 信任 的 管理 . 
8.5.2 信任 的 删除 


AD DS 数 据 任 的 静 制 。 sseeiasannreoyeareasyoeyoteroers 


站 点 与 AD DS 数据 库 的 复制 . 
9.1.1 同一 个 站 点 之 间 的 复制 
9.1.2 不 同 站 点 之 间 的 复制 
9.1.3 ”目录 分 区 与 复制 拓扑 
9.1.4 复制 通信 协议 
默认 站 点 的 管理 . 
9.2.1 默认 的 站 点 
9.2.2 Servers 文件 天 与 复制 设置 


9.3.1 
9.3.2 ”建立 站 点 链接 .， 

9.3.3 将 域 控制 器 移动 到 所 属 的 站 
9.3.4 指定 首选 的 bridgehead 服务 器 .. 
9.3.5 ”站 点 链接 与 AD DS 数据 库 的 复制 设置 . 
9.3.6 
9.3.7 ”站 点 链接 桥 的 两 个 范例 讨论 
管理 全 局 编 录 服务 器 
9.4.1 向 全 局 编 录 内 添加 属性 
9.4.2 全 局 编 录 的 功能 … 
9.4.3 通用 组 成 员 缓存 
解决 AD DS 复制 冲突 的 问题 
9.5.1 属性 标记 
9.5.2 冲突 的 种 类 .. 


当 护 症 | -操作 二 机 的 入 惠 bean ee 外 278 


1 主机 向 玉 二 和 抽 本 让 而 村 二 区 人 二 大 IE 二 得 他 
10.1.1 架构 操作 主机 .… 
10.1.2 ” 域 命名 操作 主机 
]0.1.3 RID 操作 主机 
10.1.4 PDC 模拟 器 操作 主机 
10.1.5 基础 结构 操作 主机 

102 操作 主机 的 放置 优化 .… 
10.2.1 基础 结构 操作 主机 的 放置 . 
10.2.2 PDC 模拟 器 操作 主机 的 放置 . 
10.2.3 ” 林 级 别 操作 主机 的 放置 
10.2.4 域 级 别 操作 主机 的 放置 …- 

10.3 ，” 找 出 扮演 操作 主机 角色 的 域 控制 器 
10.3.1 利用 管理 控制 台 找 出 扮演 操作 主机 的 域 控制 器 
10.3.2 ”利用 命令 找 出 扮演 操作 主机 的 域 控制 器 

10.4 ”转移 操作 主机 角色 
10.4.1 利用 管理 控制 台 、… 
10.4.2 ”利用 Windows PowerShell 命令 . 

105 夺取 操作 主机 角色 .ee 
10.5.1 操作 主机 停摆 所 造成 的 影响 . 村 
10.52， 夺取 操作 主机 前 各 实例 演练 :asiasiaieiaoniaaeiiaaaaaaaaaaaeaiaaaasi 295 


落 计 时: AREBS 蕉 名 摘 esweraoeepigesaaaaaimassweimeaaeieaT As 297 


11.1.1 AD DS 数据 库 .. 
11.1.2 SYSVOL 文 件 来 
Ji 莹 ;邦和 谷 并 机 有 和 assaan5 
11.2,1 安装 Windows Server Backup 功能 
11.2.2 备份 系统 状态 
113 还 原 AD DS…. 
11.3.1 进入 目录 服务 修复 模式 的 方法 . 
11.3.2 执行 AD DS 的 非 授 权 还 原 
11.3.3 针对 被 删除 的 AD DS 对 象 执行 授权 


于 Windows Server 2016 Active Directory 配置 指南 


11.4 AD DS 数据 库 的 移动 与 整理 .… 和 
11.4.1 可 重新 启动 的 AD DS (Restartable AD DS ) -. 
11.4.2 移动 AD DS 数据 库 文件 
11.43 ， 重 整 AD DS 数据 库 
11.5 重 署 “ 目 录 服 务 修复 模式 ”的 刀 统管 理 员 密码 
11.6 更 改 可 重新 启动 的 AD DS 的 登录 设置 . 
11.7 Active Directory 回收 站 .…. 


第 信 音 -将 资源 发 布 到 ADSs weartoeopaeoooC epiaeeeteeyeoaoeerotetofocgooire 326 


12.1 将 共享 文件 夹 发 布 到 AD DS 
12.1.1 利用 Active Directory 用 户 和 计算 机 控制 台 - 
12.1.2 ”利用 计算 机 管理 控制 台 . 

12.2 查找 AD DS 内 的 资源 
12.2.1 通过 网 络 .… 机 
12.2.2 通过 Active Directory 用 户 和 计算 机 控制 伯 

12.3 将 共享 打印 机 发 布 到 AD DS 
12.3.1 发 布 打印 机 
12.3.2 通过 AD DS 查找 共享 打印 机 了 
二 于 3 齐 所 和 区 入 标 生 米 址 我 本 师 字 生生 请 二 生生 生计 汪汪 生计 计生 贡生 


第 把 灶 :自动 信任 根 台 商 scenesasisaceeetssaeststrtrtysearrmactais 丰 是 柜 于 本 相交 308 半 二 二 下 中 338 


13.1 自动 信任 CA 的 设置 准则 
13.2 自动 信任 内 部 的 独立 CA 
13.2.1 ”下载 独 立根 CA 的 证 书 并 保存 
13.2.2 将 CA 证 书 导 入 到 受信 任 的 根 证 书 颁 发 机 构 . 
13.3 自动 信任 外 部 的 CA.… 
13.3.1 趟 载 玫 立根 A， 的 证 书 并 保存. 
13.3.2 ”建立 证 书信 任 列表 (CTL ) ,… 


骨 惑 太 AB1DS 与 队 火 塘 CeaxaRRERERRERTRCE 衣 生肖 关 再 351 


A.1 AD DS 相关 的 端口 
A.1.1 将 客户 端 计算 机 加 入 域 、 用 户 登 录 时 会 用 到 的 端口 . 
A.1.2 ”计算 机 登录 时 会 用 到 的 端口 .… 
A.1.3 建立 城 信任 时 会 用 到 的 端口 … 


A2 


A3 


附录 B 


B.1 
B.2 


B.3 


长 丰 不 ) 野生 焉 接任 时 夭 用 到 竟 荆 僻 ，r 击 二 二 汪 二 本 
At 荣 癌 顽 件 资源 时 会 用 到 的 端 吾 wa 关 证 于 站 证 王 二 二 训 二 后 二 机 疝 靖 本 
A.1.6 执行 DNS 查询 时 会 用 到 的 端口 
A.1.7 执行 AD DS 数据 库 复制 时 会 用 到 的 端口 
A.1.8 文件 复制 服务 (FRS ) 会 用 到 的 端 局 
A.1.9 分 布 式 文件 系统 (DEFS ) 会 用 到 的 端口 
A.1.10 其 他 可 能 需要 开放 的 端 已 ee 

限制 动态 RPC 端口 的 使 用 范围 
A.2.1 限制 所 有 服务 的 动态 RPC 端口 范围 4 
A-2.2 限制 AD DS 数据 库 复 制 使 用 指定 的 静态 端口 prorrcereeeeeeeaseesosnssss357 
A.2.3 限制 FRS 使 用 指定 的 静态 端口 .… 
A.2.4 限制 DFS 使 用 指定 的 静态 端口 … 
IPSec 与 VPN 端口 … 
A.3.1 IPSec 所 使 用 的 通信 协议 与 端口 -- 
A.3.2 PPTP VPN 所 使 用 的 通信 协议 与 端口 . 
A.3.3 LIL2TP/IPSec 所 使 用 的 通信 协议 与 端 中 rrreseeaeseassaaaaeeass361 


ServerCore 与 Nana 服务器 iniaaaaatasiaiaeeaiaaeaaiaasaianaiaaaaaoaeem 362 


Se 
Server Core 服务 器 的 基本 设置 
B.2.1 更 改 计算 机 名 称 .. 
B.2.2 更 改 IP 地 址 
B.2.3 ”启用 Server Core 服务 器 .. 
B.2.4 加 入 域 … 
B.2.5 ”将 域 用 户 于 放 戈 EDindiatatoig 姑 5naaESEOSSES 设 
B.2.6 ”更 改 日 期 与 时 间 
在 Server Core 服务 器 内 安装 角色 与 
B.3.1 查看 所 有 角色 与 功能 的 状态 
B.3.2 DNS 服务 器 角色 
B.3.3 DHCP 服务 器 角色 
B.3.4 文件 服务 角色 .. 
B.3.5 Hyper-V 角色 .… 
B.3,.6 打印 服务 角色 .…- 

B.3.7 Active Directory 证 书 服务 (AD CS ) 角色 .essssssssssssnenssnasnssaesasasss 373 


Windows Server 2016 Active Directory 配置 指南 


B.4 


B.5 


B.6 


B.3.8 Active Directory 域 服务 { AD DS ) 角色 .peeeeeeeeeeeoceeeeeeeeeeseseeeecc373 
3 名 古 系 这 汝 罗 S 克 前 站 生 的 证 训 二 二 二 和 人 证 环 二 让 让 IE 

远程 管理 Server Core 服务 器 
B.4.1 通过 服务 器 管理 器 来 管理 Server Core 服务 器 . 
B,4.2 通过 MMC 管理 控制 台 来 管理 Server Core 服务 器 .ee 378 
B.4.3 通过 远程 桌面 来 管理 Server Core 服务 器 . 
B.4.4 硬件 设备 的 安装 

在 虚拟 机 内 运行 的 Nano 服务 器 .seeeesss 
B.5,1 ”建立 供 庶 拟 机 使 用 的 Nano 服务 器 映像 文件 
B.5.2 建立 与 启动 Nano 服务 器 的 虚拟 机 
B.5.3 将 Nano 服 务 器 加 入 域 . 

在 物理 机 内 运行 的 Nano 服务 器 . 
B.6.1 ”建立 供 物理 机 使 用 的 Nano 服务 器 映像 文件 peeeeseees393 
B.6.2 利用 WinPE 启动 计算 机 与 安装 Nano 服务 器 en 393 


第 1 章 Active Directory 域 服 务 (AD DS) 


在 Windows Server 2016 的 网 络 环境 中 ，Active Directory 域 服务 〈Active Directory Domain 
Services，AD DS) 提供 了 用 来 组 织 、 管 理 与 控制 网 络 资源 的 各 种 强大 功能 。 

Active Directory 域 服务 概述 

站 域 功 能 级 别 与 林 功 能 级 别 

外 Active Directory 轻 型 目录 服务 


-过 Windows Server 2016 Active Directory 配置 指南 


1.1 Active Directory 域 服务 概述 


什么 是 direetory 呢 ? 日 常生 活 中 的 电话 短 内 记录 着 亲朋 好 友 的 姓名 和 了 亿 话 等 数据 ， 它 就 
是 telephone directory (电话 目录 ) ;， 计算 机 中 的 文件 系统 (file system) 内 记录 着 文件 的 文 
件 名 、 大 小 与 日 期 等 数据 ， 它 就 是 file direetory《〈 文 件 目录 ) 。 

如 果 这 些 directory 内 的 数据 能 够 系统 地 加 以 整理 的 话 ， 用 户 就 能 够 很 容易 与 快速 地 找到 
所 需要 的 数据 ， 而 directory service〈 目 录 服 务 ) 所 提供 的 服务 ， 就 是 要 让 用 户 很 容易 与 快速 
地 在 directory 内 查找 所 需要 的 数据 。 在 现实 生活 中 ， 查 号 台 也 是 一 种 目录 服务 ;在 Tntemet 
上 ，Google 网 站 所 提供 的 搜索 功能 也 是 一 种 目录 服务 。 

Active Directory 域 内 的 directorydatabase【〈 目 录 数 据 库 ) 被 用 来 存储 用 户 账户 、 计 算 机 账 
户 、 打 印 机 与 共享 文件 夹 等 对 象 ， 而 提供 目录 服务 的 组 件 就 是 Active Direetory 域 服务 
《Active Directory Domain Services，AD DS) ， 它 负责 目录 数据 库 的 存储 、 添 加 、 删 除 、 修 
改 与 查询 等 工作 。 


1.1.1 Active Directory 域 服务 的 适用 范围 〈《Scope) 


AD DS 的 适用 范围 非常 广泛 ， 它 可 以 用 在 一 侣 计算 机 、 一 个 小 型 局 域 网 CLAN) 或 多 个 
广域网 WAN) 结合 的 环境 中 。 它 包含 此 范围 中 的 所 有 对 象 ， 例 如 文件 、 打 印 机 、 应 用 程 
序 、 服 务 器 、 域 控制 器 与 用 户 账户 等 。 


1.12， 名 称 空间 《Namespace) 


名 称 空间 是 一 个 界定 好 的 区 域 (bounded area) ， 在 此 区 域内 ， 我 们 可 以 利用 某 个 名 称 来 
找到 与 此 名 称 有 关 的 信息 。 例 如 一 本 电话 德 就 是 一 个 名 称 空间 ， 在 这 本 电话 舞 内 《界定 好 的 
区 域内 ) ， 我 们 可 以 利用 姓名 来 找到 此 人 的 电话 、 地 址 与 生日 等 信息 。 又 如 Windows 操 作 系 
统 的 NTFS 文 件 系统 也 是 一 个 名 称 空间 ， 在 这 个 文件 系统 内 ， 我 们 可 以 利用 文件 名 来 找到 此 文 
件 的 大 小 、 修 改 日 期 与 文件 内 容 等 信息 。 

Aetive Directory 域 服务 (AD DS) 也 是 一 个 名 称 空间 。 利 用 AD DS， 我 们 可 以 通过 对 象 
名 称 来 找到 与 此 对 象 有 关 的 所 有 信息 。 

在 TCP/IP 网 络 环境 内 利用 Domain Name System (DNS) 来 解析 主机 名 与 中 地址 的 映射 关 
系 ， 例 如 利用 DNS 来 得 知 主机 的 地址。AD DS 也 与 DNS 紧密 地 集成 在 一 起 ， 它 的 域名 空间 
也 是 采用 DNS 架构 ， 因 此 域名 是 采用 DNS 格式 来 命名 的 ， 例 如 可 以 将 AD DS 的 域名 命名 为 


辆 > 
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saymas.local 。 


1.1.3 对象 《Object) 与 属性 〈Attribpute) 


AD DS 内 的 资源 是 以 对 象 的 形式 存在 ， 例 如 用 户 、 计 算 机 等 都 是 对 象 ， 而 对 象 是 通过 属 
性 来 描述 其 特征 的 ， 也 就 是 对 象 本 身 是 一 些 属 性 的 集合 。 例 如 如 果 要 为 用 户 王 乔 治 建立 一 个 
账户 ， 则 需要 新 建 一 个 对 象 类 型 (object class) 为 用 户 的 对 象 〈 也 就 是 用 户 账户 ) ， 然 后 在 
此 对 象 内 输入 王 乔治 的 姓 、 名 、 登 录 名 与 地 址 等 ， 这 其 中 的 用 户 账 户 就 是 对 象 ， 而 姓 、 名 与 
登录 名 等 就 是 该 对 象 的 属性 〈 参 见 表 1-1-1) 。 另 外 ， 图 1-1-1 中 的 王 乔 治 就 是 对 象 类 型 为 用 户 
(user) 的 对 象 。 


表 1-1-1 
对 象 (object) 属性 attributes) 
用 户 Cuser) 姓 
名 
登录 名 
地 址 
本 Acive Directory 用 户 和 计算 机 | 可 由 


文 性 们 各 fslAl 查看 (V) 了 到 (H) 
和 哇 | 久 别 | 才 口 | 其 盏 互 了 | 加 哎 | 孔 双 写 插 避 生 


王 Adive byectory 用 F 和 HH 其 机 | 去 闲 7 5 “| 
本 保 的 相亲 | 中 
了 而 smeleal | 驱 Schema Ad.， 去 全 细 - 通用 。 竺 人 9 天 十 天 鸣 千 理 员 
了 Buikin | 


| 跑 Read-cnly -去 全 组 - 全 局 。 此 组 中 的 友 员 旺 颖 中 只 这 城 近 制 吕 
| 跑 RAS and IA ， 雪 全 组 - 志 好 二 ”这 个 组 中 的 酸 务 痢 可 以 访问 用 户 的 远 得 


了 computers 


妃 Gcues 用 户 保 来 访问 计算 机 或 访问 是 的 内 村 户 
名 产 -ni 之 cia 二 四 。 这 AuarmenesmaTeeasaasaprms 
2 -3 2 一: 
图 1L-Li 


1.1.4 ”容器 〈《Container) 与 组 织 单位 (Organization Units，OU) 


容器 与 对 象 相似 ， 它 也 有 自己 的 名 称 ， 也 是 一 些 属性 的 集合 ， 不 过 容器 内 可 以 包含 其 他 
对 象 〈 例 如 用 户 、 计 算 机 等 ) ， 也 可 以 包含 其 他 容器 。 而 组 织 单位 是 一 个 比较 特殊 的 容器 ， 
除了 可 以 包含 其 他 对 象 与 组 织 单位 之 外 ， 还 有 组 策略 〈group policy) 的 功能 。 图 1-1-2 所 示 就 
是 一 个 名 称 为 业务 部 的 组 织 单位 ， 甚 中 包含 着 多 个 对 象 ， 其 中 两 个 为 用 户 对 象 、 两 个 为 计算 
机 对 象 与 两 个 本 身 也 是 组 织 单位 的 对 象 。 
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习 Acive Directory 用 户 和 计算 机 人 X 

文件 胃 。 扣 fEA) 查看 (V 帮助 (H) 

沁 史 [直面 | 4 白 [ 共 本 可 训 [加 四 [全 扩 世 耻 下 和 

曰 Acive Directon 用 户 和 H 丰 W 时 
保 的 查 疝 


加 Foreignsecurigyprinch 
》 园 Managed Service Acc 


图 1-1L2 


AD DS 是 以 层级 式 架构 〈hierarchical ) 将 对 象 、 容 器 与 组 织 单位 等 组 合 在 一 起 ， 并 将 其 
存储 到 AD DS 数 据 库 内 。 


41.41.5 域 树 5Domain Tree) 


我 们 可 以 搭建 包含 多 个 域 的 网 络 ， 而 且 是 以 域 树 《〈domain tree) 的 形式 存在 ， 如 图 1-1-3 
就 是 一 个 域 树 ， 其 中 最 上 层 的 域名 为 sayms.local， 它 是 此 域 树 的 根 域 “root domain) ， 根 域 
之 下 还 有 两 个 子 域 (sales.sayms.local 与 mktsayms.iocal) ， 之 下 总 共 还 有 3 个 子 域 。 

图 中 域 树 符合 DNS 域名 空间 的 命名 原则 ， 而 且 具 有 连续 性 的 ， 也 就 是 子 域 的 域名 包含 其 
父 域 的 域名 ， 例 如 域 sales.sayms.local 的 后 缀 内 包含 其 上 层 〈 父 域 ) 的 域名 sayms.local; 而 
norsales.sayms.local 的 后 缀 内 包含 其 上 层 的 域名 sales.sayms ,local。 


IO] 


/ / 
/ / 
salessaymaoeat' 旋 amslocal 


1 2 
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在 域 树 内 的 所 有 域 共享 一 个 AD DS， 也 就 是 在 此 域 树 之 下 只 有 一 个 AD DS， 不 过 其 中 的 
数据 是 分 散 存储 在 各 个 域 中 的 ， 每 一 个 域内 只 存储 隶属 于 该 域 的 数据 ， 例 如 该 域内 的 用 户 账 
户 《 存 储 在 域 控制 器 内 ) 。 


116 “信任 〔Trusty 


两 个 域 之 间 必 须 拥有 信任 关系 〈trust relationship) ， 才 可 以 访问 对 方 域内 的 资源 。 而 任 
何 一 个 新 的 AD DS 域 被 加 入 到 域 树 后 ， 这 个 域 会 自动 信任 其 上 层 的 父 域 ， 同 时 父 域 也 会 自动 
信任 此 新 子 域 ， 而 且 这 些 信任 关系 具备 双向 传递 性 〈two-way transitive) 。 由 于 此 信任 工作 是 
通过 Kerberos security protocol 来 完成 的 ， 因 此 也 被 称 为 Kerberos trust。 


e9 域 A 的 用 户 登 录 到 其 所 隶属 的 域 后 ， 这 个 用 户 是 否 能 够 访问 域 B 内 的 资源 呢 ? 


@ 只 要 域 B 有 信任 域 A 就 可 以 。 


我 们 以 图 1-1-4 来 解释 双向 可 传递 性 ， 图 中 域 A 信 任 域 B 〈 箭 头 由 A 指 向 B) 、 域 B 又 信任 
域 C， 因 此 域 A 会 自动 信任 域 C; 另外 域 C 信 任 域 B〈 箭 头 由 C 指 向 B) 、 域 B 又 信任 域 A， 
因此 域 C 会 自动 信任 域 A。 结 果 是 域 A 和 域 C 之 间 也 就 自动 地 建立 起 双向 的 信任 关系 。 

当 任何 一 个 新 域 加 入 到 域 树 后 ， 它 会 自动 双向 信任 这 个 域 树 内 所 有 的 域 ， 因 此 只 要 拥有 
适当 权限 ， 这 个 新 域内 的 用 户 便 可 以 访问 其 他 域内 的 资源 ， 同 理 其 他 域内 的 用 户 也 可 以 访问 
这 个 新 域内 的 资源 。 


个 双向 信任 关 : 
晨 自 动 建立 的 


图 1L14 


1 森 EGies6) 
林 是 由 一 个 或 多 个 域 树 所 组 成 的 ， 每 一 个 域 树 都 有 自己 唯一 的 名 称 空间 ， 如 图 1-1-5 所 
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示 ， 其 中 一 个 域 树 内 的 每 一 个 域名 都 以 sayms.local 结 尾 ， 而 另 一 个 则 都 以 say365.local 结 尾 。 
第 一 个 域 树 的 根 域 ， 就 是 整个 林 的 根 域 〈forest root domain) ， 同 时 其 域名 就 是 林 的 林 名 
称 。 如 图 1-1-5 中 的 sayms.local 是 第 一 个 域 树 的 根 域 ， 它 就 是 整个 林 的 根 域 ， 而 林 名 称 就 是 
Sayms.local。 
在 建立 林 时 ， 每 一 个 域 树 的 根 域 与 林 根 域 之 间 双 向 的 、 可 传递 的 信任 关系 都 会 被 自动 建 
立 起 来 ， 因 此 每 一 个 域 树 中 的 每 一 个 域内 的 用 户 ， 只 要 拥有 权限 ， 就 可 以 访问 其 他 任何 一 个 
域 树 内 的 资源 ， 也 可 以 到 其 他 任何 一 个 域 树 内 的 成 员 计算 机 登录 。 
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图 115 


直 4148， 架构 (Schema) 


AD DS 对 象 类 型 与 属性 数据 是 定义 在 架构 内 的 ， 例 如 它 定 义 了 用 户 对 象 类 型 内 包含 哪 一 
些 属 性 〈 姓 、 名 、 电 话 等 ) 、 每 一 个 属性 的 数据 类 型 等 信息 。 

隶属 于 Schema Admins 组 的 用 户 可 以 修改 架构 内 的 数据 ， 应 用 程序 也 可 以 自行 在 架构 内 
添加 其 所 需 的 对 象 类 型 或 属性 。 在 一 个 林内 的 所 有 域 树 共享 相同 的 架构 。 


11:9 ， 域 控制 器 〈Domain Controller) 


Aetive Direetory 域 服务 (AD DS) 的 目录 数据 是 存储 在 域 控制 器 内 的 。 一 个 域内 可 以 有 
多 人 台 域 控制 器 ， 每 一 台 域 控制 器 的 地 位 〈 几 乎 ) 是 平等 的 ， 它 们 各 自 存储 着 一 份 相同 的 AD 
DS 数 据 库 。 当 在 任何 一 人 台 域 控制 器 内 添加 了 一 个 用 户 账户 后 ， 此 账户 默认 是 被 建立 在 此 域 控 
制 器 的 AD DS 数 据 库 中 ， 之 后 会 自动 被 复制 (replicate) 到 其 他 域 控制 器 的 AD DS 数 据 库 〈 见 


男 
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图 1-1-6) ， 以 便 让 所 有 域 控 制 器 内 的 AD DS 数 据 库 都 能 够 同步 〈synchronize) 。 


域 控 抽 
器 上 


Windows Server 2016、 Windows 10 了 Pro 
Windows Server 2012(R2) 等 Windows 8.1 Pro、 
Windows 7 Professional 等 


图 1-146 

当 用 户 在 某 台 域 成 员 计算 机 登录 时 ， 会 由 其 中 一 台 域 控制 器 根据 其 AD DS 数 据 库 内 的 账 
户 数据 ， 来 审核 用 户 所 和 输入 的 账户 与 密码 是 否 正确 。 如 果 正 确 ， 用 户 就 可 以 成 功 登 录 ; 反 
之 ， 会 被 拒绝 登录 。 

多 台 域 控制 器 可 以 提供 容错 功能 ， 也 就 是 即使 有 一 台 域 控制 器 出 现 故障 了 ， 仍 然 能 够 由 
其 他 域 控制 器 来 提供 服务 。 另 外 它 也 可 以 提升 用 户 登 录 效 率 ， 因 为 多 台 域 控制 器 可 以 分 担 审 
核 登 录用 户 身 份 〈 用 户 名 与 密码 ) 的 负担 。 

域 控制 器 是 由 服务 器 级 别 的 计算 机 来 扮演 的 ， 例 如 Windows Server 2016 、Windows 
Server2012 (R2) 、Windows Server 2008 ( R2) 等 。 


1.1.10 只 读 域 控制 露 《RODC) 


只 读 域 控制 器 (Read-Only Domain Controller，RODC) 的 AD DS 数 据 库 只 能 被 读 取 、 不 
能 被 修改 ， 也 就 是 说 用 户 或 应 用 程序 无 法 直接 修改 RODC 的 AD DS 数 据 库 。RODC 的 AD DS 
数据 库 内 容 只 能 够 从 其 他 可 读 写 域 控制 器 复制 过 来 。RODC 主 要 是 设计 给 远程 分 公司 网 络 来 
使 用 ， 因 为 一 般 来 说 远程 分 公司 的 网 络 规模 比较 小 .用 户 人数 比较 少 ， 此 网 络 的 安全 措施 或 
许 并 不 如 总 公司 完备 ， 同 时 也 可 能 侠 乏 IT 技术 人 员 ， 因 此 采用 RODC 可 避免 因 其 AD DS 数 据 
库 被 破坏 而 影响 到 整个 AD DS 环 境 的 运行 。 
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1，RODC 的 AD DS 数据 库 内容 


除了 用 户 账户 的 密码 之 外 ，RODC 的 AD DS 数 据 库 内 会 存储 AD DS 域 内 的 所 有 对 和 象 与 属 
性 。 远 程 分 公司 内 的 应 用 程序 要 读 取 AD DS 数 据 库 内 的 对 象 时 ， 可 以 通过 RODC 来 快速 获 
到。 不 过 因为 RODC 并 不 存储 用 户 的 密码 ， 因 此 它 在 验证 用 户 名 与 密码 时 ， 仍 然 需要 将 它们 
发 送 到 总 公司 的 可 读 写 域 控制 器 进行 验证 。 

南 于 RODC 的 AD DS 数 据 库 是 只 读 的 ， 因 此 远程 分 公司 的 应 用 程序 要 更 改 AD DS 数 据 库 
的 对 象 或 用 户 要 更 改 密码 的 话 ， 这 些 变更 请 求 都 会 被 提交 到 总 公司 的 可 读 写 域 控 制 器 来 处 
理 ， 总 公司 的 可 读 写 域 控 制 器 再 通过 AD DS 数 据 库 的 复制 程序 将 这 些 改 动 数据 复制 到 
RODC。 


2. 单 向 复制 〈Unidirectional Replication ) 


总 公司 的 可 读 写 域 控制 器 的 AD DS 数 据 库 发 生变 化 时 ， 这 些 变化 数据 会 被 复制 到 
RODC。 然 而 因为 用 户 或 应 用 程序 无 法 直接 更 改 RODC 的 AD DS 数 据 库 ， 因 此 总 公司 的 可 读 
写 域 控 制 器 不 会 从 RODC 同 步 数据 ， 因 而 可 以 降低 网 络 的 负担 。 

除 此 之 外 ， 可 读 写 域 控制 器 通过 DFS 分 布 式 文件 系统 将 SYSVOL 文 件 炎 《〈 用 于 存储 与 组 
策略 有 关 的 设置 ) 复制 给 RODC 时 ， 也 是 采用 单 向 复制 ， 


3. 认证 缓存 〈Credential Caching) 


RODC 在 验证 用 户 的 密码 时 ， 仍 然 需 将 它们 提交 到 总 公司 的 可 读 写 域 控制 器 来 验证 ， 如 
果 和 希望 提高 验证 效率 的 话 ， 可 以 选择 将 用 户 的 密码 存储 到 RODC 的 认证 缓存 区 。 这 需要 通过 
密码 复制 策略 〈Password Replication Policy) 来 选择 可 以 被 RODC 缓 存 的 账户 。 建 议 不 要 缓存 
太 多 账户 ， 因 为 分 公司 的 安全 措施 可 能 比较 差 ， 如 果 RODC 被 入 侵 的 话 ， 则 存储 在 缓存 区 内 
的 认证 信息 可 能 会 外 油 。 


4. 系统 管理 员 角 色 隔 离 (Administrator Role Separation ) 


可 以 通过 系统 管理 员 角 色 隔 离 来 将 任何 一 位 域 用 户 委派 为 RODC 的 本 地 系统 管理 员 ， 他 
可 以 在 RODC 这 人 台 域 控制 器 登录 、 执 行 管理 工作 ， 例 如 更 新 驱动 程序 等 ， 但 他 却 无 法 登录 其 
他 域 控制 器 ， 也 无 法 执行 其 他 域 管理 工作 。 此 功能 允许 将 RODC 的 一 般 管理 工作 委派 给 特定 
的 用 户 ， 但 却 不 会 危害 到 域 安全 。 


5 只 读 域 名 系统 〈Read-Only Domain Name System) 


可 以 在 RODC 上 措 建 DNS 服务 器 ，RODC 会 复制 DNS 服务 器 的 所 有 应 用 程序 目录 分 区 - 
客户 端 可 向 这 一 台 扮 演 RODC 和 角色 的 DNS 服务 器 提出 DNS 查询 请 求 。 


图。 
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不 过 RODC 的 DNS 服务 器 不 支持 客户 端 直 接 进 行动 态 更 新 ， 因 此 客户 端的 更 新 记录 请 
求 ， 会 被 此 DNS 服务 器 提交 到 其 他 DNS 服务 器 ， 让 客户 端 转向 该 DNS 服务 器 进行 更 新 ， 而 
RODC 的 DNS 服务 器 也 会 自动 从 这 台 DNS 服 务 器 复制 这 条 更 新 记录 。 


1. 丰 .11 可 重启 的 AD DS《Restartable AD DS)》 


在 旧版 的 Windows 域 控制 器 内 ， 如 果 要 进行 AD DS 数 据 库 维护 工作 的 话 〈 例 如 数据 库 脱 
机 整理 ) ， 就 需 重 新 启动 计算 机 、 进 入 目录 服务 还 原 模式 〈 或 译 为 目录 服务 修复 模式 ， 
Directory Service Restore Mode) 来 执行 维护 工作 。 如 果 这 人 台 域 控制 器 也 同时 提供 其 他 网 络 服 
务 的 话 ， 例 如 它 同 时 也 是 DHCP 服 务 器 ， 则 重新 启动 计算 机 期 间 将 造成 这 些 服 务 暂时 中 断 。 

除了 进入 目录 服务 还 原 模式 之 外 ，Windows Server 2016 等 域 控制 器 还 提供 可 重新 启动 的 
AD DS 功 能 ， 也 就 是 说 如 果 要 执行 AD DS 数 据 库 维护 工作 的 话 ， 只 需要 将 AD DS 服 务 停止 即 可 ， 
不 需 重新 启动 计算 机 来 进入 目录 服务 还 原 模式 ， 如 此 不 但 可 以 让 AD DS 数 据 库 的 维护 工作 更 容 
易 、 更 快 完成 ， 而 且 其 他 服务 也 不 会 被 中 断 。 完 成 维护 工作 后 再 重新 启动 AD DS 服 务 即 可 。 

在 AD DS 服 务 停止 的 情况 下 ， 只 要 还 有 其 他 域 控制 器 在 线 ， 则 仍然 可 以 在 这 台 AD DS 服 
务 已 经 停止 的 域 控制 器 上 利用 域 用 户 账户 登录 。 如 果 没 有 其 他 域 控制 器 在 线 ， 则 在 这 台 AD 
DS 服 务 已 停 止 的 域 控制 器 上 ， 默 认 只 能 够 利用 目录 服务 还 原 模式 的 系统 管理 员 账户 来 进入 目 
录 服 务 还 原 模式 。 


1.1.12 Active Directory 回 收 站 


在 旧版 Windows 系 统 中 ， 系 统管 理 员 如 果 不 小 心 将 AD DS 对 象 删 除 ， 如 果 要 恢复 被 删除 
的 对 象 会 有 很 多 先决 条 件 ， 且 操作 复杂 。 例 如 误 删 组 织 单位 的 话 ， 则 其 中 所 有 对 象 都 会 被 删 
除 ， 此 时 虽然 系统 管理 员 可 以 进入 目录 服务 还 原 模式 来 恢复 被 误 删 的 对 象 ， 不 过 这 种 操作 很 
耗费 时 间 ， 而 且 在 进入 目录 服务 还 原 模式 这 段 时 间 内 ， 域 控制 器 会 暂时 停止 对 客户 端 提供 服 
务 。Windows Server 2016 具 备 Active Direetory 回 收 站 功能 ， 它 让 系统 管理 员 不 需要 进入 目录 
服务 还 原 模式 ， 就 可 以 恢复 被 删除 的 对 象 。 


1.1.13 AD DS 的 复制 模式 


域 控制 器 之 间 在 复制 AD DS 数 据 库 时 ， 分 为 以 下 两 种 复制 模式 : 


习 多 主机 复制 模式 (multi-master replication model ) : AD DS 数 据 库 内 的 大 部 分 数据 是 
利用 此 模式 进行 复制 的 。 在 此 模式 下 ， 可 以 直接 更 新 任何 一 台 域 控制 器 内 的 AD DS 
对 象 ， 之 后 这 个 更 新 过 的 对 象 会 被 自动 复制 到 其 他 域 控制 器 。 例 如 当 在 任何 一 台 域 
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控制 器 的 AD DS 数 据 库 内 新 建 一 个 用 户 账户 后 ， 此 账户 会 自动 被 复制 到 域内 的 其 他 
域 控制 器 。 

单 主机 复制 模式 【single-master replication model ) : AD DS 数 据 库 内 少 部 分 数据 是 采 
用 单 主机 复制 模式 来 复制 的 ， 在 此 模式 下 ， 当 提出 更 改 对 象 数据 的 请 求 时 ， 会 由 其 
中 一 台 域 控制 器 (被 称 为 操作 主机 ) 负责 接收 与 处 理 此 请 求 ， 也 就 是 说 该 对 象 是 先 
被 更 新 在 揉 作 主机 ， 再 由 操作 主机 将 它 复制 给 其 他 域 控制 器 。 例 如 添加 或 删除 一 个 
域 时 ， 过 个 更 改 信息 会 先 被 写 入 到 扮演 域 命名 操作 主机 角色 的 域 控制 器 内 ， 再 由 它 
复制 给 其 他 域 控制 器 ( 见 第 10 章 ) .。 


必 


11.14， 域 中 的 其 他 成 员 计算 机 


如 果 要 完全 管理 网 络 内 的 计算 机 ， 请 将 它们 加 入 域 ， 用 户 在 域 成 员 计算 机 上 才能 利用 AD 
DS 数 据 库 内 的 域 用 户 账户 来 登录 ， 在 未 加 入 域 的 计算 机 上 只 能 够 利用 本 地 用 户 账 户 登 录 。 域 
中 的 成 员 计 算 机 包含: 
匀 成 员 服务 器 ( member server) ， 例 如 : 
硬 Windows Server 2016 Datacenter/Standard/Essentials 
国 Windows Server2012 ( R2 ) Datacenter/Standard 
量 Windows Server 2008 ( R2 ) Datacenter/Enterprise/Standard 
上 壕 服务 器 级 别 的 计算 机 加 入 域 后 被 栋 为 成 员 服 务 器 ， 但 成 员 服务 器 内 并 没有 AD 
DS 数 据 库 ， 它 们 也 不 负责 审核 AD DS 域 用 户 名 与 密码 ， 而 是 将 其 提交 给 域 控 制 器 来 
审核 。 未 加 入 域 的 服务 器 被 称 为 独立 服务 器 或 工作 组 服务 器 。 但 不 论 是 独立 服务 器 
还 是 成 员 服务 器 都 有 本 地 安全 账户 数据 库 ( SAM ) ， 系 统 可 以 利用 它 来 审核 本 地 用 
户 〈 非 AD DS 域 用 户 ) 的 身份 。 

浊 其 他 常用 的 Windows 计 算 机 ， 例 如 :; 
四 Windows 10 Enterprise/Pro/Education 


国 Windows 8.1 (8 ) Enterprise/Pro 

四 Windows 7 Ultimate/Enterprise/Professional 

国 Windows Vista Ultimate/Enterprise/Business 

当 上 述 客户 端 计算 机 加 入 域 以 后 ， 用 户 就 可 以 在 这 些 计算 机 上 利用 AD DS 内 的 用 户 
账户 来 登录 ， 和 否则 只 能 够 利用 本 地 用 户 账户 来 登录 


其 他 入 门 级 的 客户 端 计算 机 ( 例如 Windows 10 Home ) 无 法 加 入 域 。 


可 以 将 Windows Server 2016、Windows Server 2012 (R2) 、Windows Server 2008 (R2) 


本 
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等 独立 上 或 成 员 服务 器 升级 为 域 控 制 占 ， 也 可 以 将 域 控 制 器 降级 为 独立 或 成 员 服务 器 。 


1.1.15 “DNS 服务 器 


域 控制 器 需要 将 自己 注册 到 DNS 服务 器 内 ， 以 便 让 其 他 计算 机 通过 DNS 服务 器 来 找到 这 
台 域 控制 器 ， 因 此 域 环 境 需 要 有 可 支持 AD DS 的 DNS 服务 器 。 此 服务 器 最 好 支持 动态 更 新 
Cdynamic update) 功能 ， 以 便当 域 控 制 器 的 角色 发 生变 化 或 域 成 员 计算 机 的 下地 址 等 数据 发 


生变 化 时 ， 可 以 自动 更 新 DNS 服务 器 内 的 记录 。 


1.1.16 轻型 目录 访问 协议 〈LDAP) 


LDAP (Lightweight Directory Access Protocol) 是 一 种 用 来 查询 与 更 新 AD DS 的 目录 服务 
通信 协议 。AD DS 利 用 LDAP 名 称 路 径 (LDAP naming path) 来 表示 对 象 在 AD DS 内 的 位 置 ， 


以 便 用 它 来 访问 AD DS 对 象 。LDAP 和 名称 路 径 包 含 : 


忆 Distinguished Name (DN) : 它 是 对 象 在 AD DS 内 的 完整 路 径 ， 例 如 图 1-1-7 中 的 用 


户 账户 名 称 为 林 小 洋 ， 其 DN 为 : 
忌 CN= 林 小 洋 ,OU= 业 务 一 组 ,OU= 业 务 部 ,DC=sayms,DC=local 


咏 其 中 DC (domain component) 表示 DNS 域名 中 的 组 件 ， 例 如 sayms,local 中 的 sayms 与 
locai; OU 为 组 织 单位 ; CN 为 common name。 除 了 DC 与 OU 之 外 ， 其 他 都 是 利用 CN 
来 表示 ， 例 如 用 户 与 计算 机 对 象 都 是 属于 CN。 上 述 DN 表 示 法 中 的 sayms.local 为 域 
和 名， 业务 部 、 业 务 一 组 都 是 组 织 单 位 。 此 DN 表 示 账 户 林 小 洋 是 存储 在 sayms.locak\ 业 


务 部 \ 业 务 一 组 路 径 内 。 


习 Relative Distinguished Name (RDN ) : RDN 是 用 来 代表 DN 完 整 路 径 中 的 部 分 路 
径 ， 例 如 前 述 路 径 中 ，CN= 林 小 洋 与 OU= 业 务 一 组 等 都 是 RDN。 


| 三 Acive pirecory 用 计 页 册 一 
| 文 位 中 进 fE(A) 下 看 (V) 。 瑚 且 (H) 
和 昕 | 去 侣 | 口 | 加 薄 取 ] 面 加 | 及 色 号 了 盏 及 


口 “X 


互 Aive Drecaony 用 PH 基 吕 | 三 了 3 还 
1 本 Wai | @P 再 记 
~ 园 saymalocal | 


和 | DC=sayms , DC=local 


河 Demain Controlers | 


了 Foreignsecuriyprincip, 
j Mansged Service Accd 
了 user 
、 习 4 - OU= 业 务 部 
避 4 虽 - OU= 业 务 一 组 
刷 册 g= 下 | 
< 让 < 一 > 
| 2 
图 1-17 
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除了 DN 与 RDN 这 两 个 对 象 名 称 外 ， 另 外 还 有 以 下 名 称 : 

浊 Global Unique Identifier (GUID ) : 系统 会 自动 为 每 一 个 对 象 分 配 一 个 唯一 的 、128 
位 数值 的 GUID。 虽 然 可 以 更 改 对 象 名 称 ， 但 其 GUID 永 远 不 会 改变 -。 

说 User Principal Name (UPN ) : 每 一 个 用 户 还 可 以 有 一 个 比 DN 更 短 、 更 容易 记忆 的 
UPN， 如 图 1-1-7 中 的 林 小 洋 是 隶属 域 sayms.local， 则 其 UPN 可 为 bobbQ@sayms.local、 
用 户 登 录 时 所 输入 账户 名 称 最 好 使 用 UPN， 因 为 无 论 此 用 户 的 账户 被 移动 到 哪 一 个 
域 ， 其 UPN 都 不 会 改变 ， 因 此 用 户 可 以 一 直 用 同一 个 名 称 来 登录 。 

洁 Service Principal Name (SPN ) : SPN 是 一 个 包含 多 重 设置 值 的 名 称 ， 它 是 根据 
DNS 主机 名 建立 的 。SPN 用 来 代表 某 台 计算 机 所 支持 的 服务 ， 它 让 其 他 计算 机 可 以 
通过 SPN 来 与 这 台 计 算 机 的 服务 通信 。 


1.1.17 全 局 编 录 《Global Catalog) 


虽然 在 域 树 内 的 所 有 域 共享 一 个 AD DS 数 据 库 ， 但 其 数据 却 是 分 散在 各 个 域内 的 ， 而 每 
-个 域 只 存储 该 域 本 身 的 数据 。 为 了 让 用 户 、 应 用 程序 能 够 快速 找到 位 于 其 他 域内 的 资源 ， 
因此 在 AD DS 内 设计 了 全 局 编 录 。 一 个 林内 的 所 有 域 树 共享 相同 的 全 局 编 录 。 

全 局 编 录 的 数据 是 存储 在 域 控制 器 内 的 ， 这 人 台 域 控制 器 可 被 称 为 全 局 编 录 服务 器 ， 它 存 
储 着 林内 所 有 域 的 AD DS 数 据 库 内 的 每 一 个 对 象 ， 不 过 只 存储 对 象 的 部 分 属性 ， 这 些 属性 都 
是 常用 的 、 用 于 查找 对 象 的 属性 ， 例 如 用 户 的 电话 号 码 、 登 录 名 等 。 全 局 编 录 让 用 户 即 使 不 
知道 对 象 是 位 于 哪 一 个 域内 ， 仍 然 可 以 快速 地 找到 对 象 。 

用 户 登 录 时 ， 全 局 编 录 服务 器 还 负责 提供 该 用 户 所 隶属 的 通用 组 信息 ; 用 户 利用 UPN 登 
录 时 ， 它 也 负责 提供 该 用 户 是 隶属 于 哪 一 个 域 的 信息 。 


1.1.18 站 点 〈Site) 


站 点 是 由 一 或 多 个 IP 子 网 所 组 成 ， 这 些 子 网 之 间 通 过 高 速 且 可 靠 的 链 路 连接 在 一 起 ， 也 
就 是 这 些 子 网 之 间 的 连接 速度 要 够 快 且 稳 定 ， 否 则 就 应 该 将 它们 分 别 规划 为 不 同 的 站 点 。 

一 般 来 说 ， 一 个 LAN (局 域 网 ) 内 的 各 个 子 网 之 问 的 链 路 都 符合 速度 并 且 高 可 靠 的 要 
求 ， 因 此 可 以 将 一 个 LAN 规 划 为 一 个 站 点 ; 而 WAN 《广域网 ) 内 的 各 个 LAN 之 问 的 连接 速度 
一 般 都 不 快 ， 因 此 WAN 之 中 的 各 个 LAN 应 分 别 规划 为 不 同 的 站 点 ， 参 见 图 1-1-8。 

域 是 逻辑 的 《logical) 分 组 ， 而 站 点 则 是 物理 的 《physical) 分 组 。 在 AD DS 内 一 个 站 点 
可 能 包含 多 个 域 : 而 一 个 域内 的 各 个 计算 机 也 可 能 分 属于 不 同 的 站 点 。 


宽 ， 


时 
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图 1-18 

如 果 一 个 域 的 域 控制 器 分 布 在 不 同 的 站 点 中 ， 而 站 点 之 间 是 慢 速 连接 的 话 ， 由 于 不 同 站 
点 的 域 控制 器 之 间 会 互相 复制 AD DS 数 据 库 ， 因 此 要 谨慎 规划 执行 复制 的 时 段 ， 也 就 是 尽量 
在 离 峰 时 段 执行 复制 工作 ， 同 时 复制 的 频率 不 要 太 高 ， 以 避免 复制 时 占用 站 人 台 之 间 的 连接 带 


影响 站 点 之 间 其 他 数据 的 传输 效率 。 

同一 个 站 点 内 的 域 控 制 器 之 间 是 通过 快速 链 路 连接 在 一 起 的 ， 因 此 在 复制 AD DS 数 据 
可 以 实现 快速 复制 。AD DS 会 设置 让 同一 个 站 点 内 、 隶 属于 同一 个 域 的 域 控制 器 之 间 自 
动 执行 复制 操作 ， 并 且 默 认 的 复制 频率 也 要 高 于 不 同 站 点 之 间 的 域 控制 器 。 

不 同 站 点 之 间 在 复制 时 所 传送 的 数据 会 被 压缩 ， 以 减少 站 点 之 间 连 接 带 宽 的 负担 ; 但 是 
同一 个 站 点 内 的 域 控 制 器 之 间 在 复制 时 并 不 会 压缩 数据 。 


11.19 目录 分 区 (Directory Partition) 
AD DS 数 据 库 被 远 辑 的 分 为 以 下 多 个 目录 分 区 : 


让 


架构 目录 分 区 (Schema Direetory Partition ) : 它 存储 着 整个 林 中 所 有 对 象 与 属性 
的 定义 数据 ， 也 存储 着 如 何 建立 新 对 象 与 属性 的 规则 。 整 个 林内 所 有 域 共 享 一 份 相 
同 的 加 构 目录 分 区 ， 它 会 被 复制 到 林 中 所 有 域 的 所 有 域 控制 器 。 

配置 目录 分 区 ( Configuration Directory Partition ) : 其 中 存储 着 整个 AD DS 的 结 
构 ， 例 如 有 哪些 域 ， 有 哪些 站 点 、 有 哪些 域 控制 器 等 信息 。 整 个 林 共 享 一 份 相 同 的 
配置 目录 分 区 ， 它 会 被 复制 到 林 中 所 有 域 的 所 有 域 控制 器 。 

域 目 录 分 区 (Domain Directory Partition ) : 每 一 个 域 各 有 一 个 域 目录 分 区 ， 其 中 
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1.2 


存储 着 与 该 域 有 关 的 对 象 ， 例 如 用 户 、 组 与 计算 机 等 对 象 。 每 一 个 域 各 自 拥有 一 份 
域 目录 分 区 ， 它 只 会 被 复制 到 该 域内 的 所 有 域 控制 器 ， 但 并 不 会 被 复制 到 其 他 域 的 
域 控制 器 - 

应 用 程序 目录 分 区 (Application Directory Partition ) : 一 般 来 说 ， 应 用 程序 目录 分 
医 是 由 应 用 程序 所 建立 的 ， 其 中 存储 着 与 该 应 用 程序 有 关 的 数据 。 例 如 由 Windows 
Server 2016 扮 演 的 DNS 服务 器 ， 如 果 所 建立 的 DNS 区 域 为 Active Directory 集 成 区 域 
的 话 ， 则 它 会 在 AD DS 数 据 库 内 建立 应 用 程序 目录 分 区 ， 以 便 存 储 该 区 域 的 数据 。 
应 用 程序 目录 分 区 会 被 复制 到 林 中 的 特定 域 控 制 器 ， 而 不 是 所 有 的 域 控 制 器 。 


域 功能 级 别 与 林 功 能 级 别 


AD DS 将 域 与 林 划 分 为 不 同 的 功能 级 别 ， 每 个 级 别 各 有 不 同 的 功能 与 限制 。 


1.2:1 


域 功能 级 别 〈Domain Functionality Level) 


Acetive Directory 域 服务 (AD DS) 的 域 功能 级 别 设置 只 会 影响 到 该 域 而 已 ， 不 会 影响 到 


其 他 域 。 


区 巡 区 区 区 


域 功能 级 别 分 为 以 下 几 种 模式 ， 


Windows Server 2008: 域 控制 器 为 Windows Server 2008 或 新 版 。 
Windows Server 2008 R2: 域 控制 器 为 Windows Server 2008 R2 或 新 版 。 
Windows Server 2012: 域 控制 器 为 Windows Server 2012 或 新 版 ， 
Windows Server 2012 R2: 域 控制 器 为 Windows Server 2012 R2 或 新 版 。 
Windows Server 2016: 域 控 制 器 为 Windows Server 2016, 


其 中 最 新 的 Windows Server 2016 级 别 拥 有 AD DS 的 所 有 功能 。 可 以 提升 域 功 能 级 别 ， 例 
如 将 Windows Server 2012 R2 提 升 和 到 Windows Server 2016- 


1.2.2 


林 功 能 级 别 【Forest Functionality Level) 


Active Direetory 域 服务 (AD DS) 的 林 功 能 级 别 设置 ， 会 影响 到 该 林内 的 所 有 域 。 林 功 
能 级 别 分 为 以 下 几 种 模式 ， 


局 


妆 
忌 
> 
立 


Windows Server 2008- 域 控制 器 为 Windows Server 2008 或 新 版 ， 
Windows Server 2008 R2: 域 控制 器 为 Windows Server 2008 R2 或 新 版 。 
Windows Server 2012: 域 控制 器 为 Windows Server 2012 或 新 版 。 
Windows Server 2012 R2: 域 控制 器 为 Windows Server 2012 R2 或 新 版 。 
Windows Server 2016: 域 控制 器 为 Windows Server2016， 
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其 中 最 新 的 Windows Server 2016 级 别 拥有 AD DS 的 所 有 功能 。 可 以 提升 林 功 能 级 别 ， 例 
如 将 Windows Server 2012 R2 提 升 到 WindowsSeryer 2016。 
表 1-2-1 中 列 出 每 一 个 林 功 能 级 别 所 支持 的 域 功能 级 别 。 


表 1-2-1 


林 功 能 级 别 支持 的 域 功能 级 别 


Windows Server 2008、Windows Server 2008 R2，Windows Server 2012、 
Windows Server 2012 R2，Windows Server2016 


Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、 
Windows Server2016 


Windows Server2008 


Windows Server2008 R2 


Windows Server2012 Windows Server2012、Windows Server2012 R2。Windows Server2016 
Windows Server2012 R2 Windows Server2012 R2、Windows Server2016 
Windows Server2016 Windows Server 2016 


1.3 Active Directory 轻 型 目录 服务 


我 们 从 前 面 的 介绍 已 经 知道 AD DS 数 据 库 是 一 个 符合 LDAP 规 范 的 目录 服务 数据 库 ， 它 
除了 可 以 用 来 存储 AD DS 域 内 的 对 铺 〈 比 如 用 户 账户， 计算 机 账户 等 ) 之 外 ， 也 提供 应 用 程 
序 目录 分 区 ， 以 便 让 支持 目录 访问 的 应 用 程序 (directory-enabled application ) 可 以 将 该 程序 
的 相关 数据 存储 到 AD DS 数 据 库 内 。 

然而 前 面 所 介绍 的 环境 中 ， 必 须 建立 AD DS 域 与 域 控制 器 ， 才 能 够 使 用 AD DS 目 录 服 务 
与 数据 库 。 为 了 让 没有 域 的 环境 ， 也 能 够 拥有 与 AD DS 一 样 的 目录 上 服务， 以 便 让 支持 目录 访 
问 的 应 用 程序 可 以 有 一 个 目录 数据 库 来 存储 数据 ， 因 此 提供 了 一 个 称 为 Active Direetory 轻 型 
目录 服务 (Active Direetory Lightweight Directory Services，AD LDS) 的 服务 ， 

AD LDS 可 以 允许 在 计算 机 内 建立 多 个 目录 服务 的 环境 ， 每 一 个 环境 被 称 为 是 一 个 AD 
LDS 实 例 (instance) ， 每 一 个 AD LDS 实 例 分 别 拥有 独立 的 目录 配置 与 架构 (schema) ， 也 
分 别 拥有 专用 的 目录 数据 库 ， 以 供 支持 目录 访问 的 应 用 程序 来 使 用 。 

如 果 要 在 Windows Server 2016 内 安装 AD LDS 角 色 : 【 单 击 左下 角 开 始 田 图 标 纺 服务 器 管 
理 器 纪 单 击 仪表 板 处 的 添加 角色 和 功能 写 …… 纪 如 图 1-3-1 所 示 选 择 Acetive Direetory 轻 型 目 
录 服 务 23……]】:。 之 后 就 可 以 通过 以 下 方法 来 建立 AD LDS 实 例 : 【 单 击 左下 角 开 始 图 标 
23Windows 管 理工 具 3Aetive Directory 轻 型 目录 服务 安装 向 导 】， 也 可 以 通过 【 单 击 左下 角 
开始 图 标 人 Windows 管 理工 具 23ADSI 编 辑 器 】 来 管理 AD LDS 实 例 内 的 目录 配置 、 扣 构 、 对 
象 等 。 
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下 二 多 名 RU 攻 内 导 
选择 服务 器 角色 

天 站 2 前 二 天 要 产 革 在 所 于 服务 尖 上 的 一 个 或 多 个 角色 .， 

安 和 类 电 角色 

度 务 要 选 笠 口 Ae Day MeatSWes 
口 Activs Directory 恬 合 自从 本 务 
RE 

功能 口 Active Directory 城 曙 务 

ADiD5 癌 active Directory 证 # 服 于 
口 phcp 配器 

情 从 日 bNs 县 和 
口 hyperv 及 


图 13-1 
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建立 AD DS (Active Directory Domain Services) 域 后 ， 就 可 以 通过 AD DS 的 强大 功能 提 
高 网 络 管理 效率 ， 减 轻 网 络 管理 人 员 的 工作 负担 。 


性 


建立 AD DS 域 前 的 准备 工作 

建立 AD DS 域 

确认 AD DS 域 是 否 正常 

提升 域 与 林 功 能 级 别 

添加 额外 域 控制 器 与 RODC 

RODC 阶 段 式 安装 殊 
将 Windows 计 算 机 加 入 或 脱离 域 区 

在 域 成 员 计算 机 内 安装 AD DS 管 理工 具 6 
删除 域 控制 器 与 域 


区区 区 区 必 


攻 世 区 


二 
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2.1 建立 AD DS 域 前 的 准备 工作 


建立 AD DS 域 的 方法 ， 可 以 先 安装 一 音 服务 器 ， 然 后 将 其 升级 promote ) 为 域 控 制 器 。 
在 建立 AD DS 域 前 ， 请 先 确认 以 下 的 准备 工作 是 否 已 经 完成 : 

尝 选择 适当 的 DNS 域名 

浊 准备 好 一 台 用 来 支持 AD DS 的 DNS 服务 器 

忌 选择 AD DS 数 据 库 的 存储 位 置 


2.1.1 选择 适当 的 DNS 域名 


AD DS 域 名 是 采用 DNS 的 架构 与 命名 方式 ， 央 此 请 先 为 AD DS 域 取 一 个 符合 DNS 属 式 的 
域名 ， 例 如 sayms.local (以 下 均 以 虚拟 的 顶级 域名 ,local 为 例 米 说 明 ) 。 虽然 域名 可 以 在 域 建 
立 完成 后 更 改 ， 不 过 步骤 烦琐 ， 因 此 请 事先 谨慎 命名 。 


2:1.2 ”准备 好 一 台 支 持 AD DS 的 DNS 服务 器 
在 AD DS 域 中 ， 域 控制 器 会 将 自己 所 扮演 的 角色 注册 到 DNS 服务 器 内 ， 以 便 让 其 他 计算 


机 通过 DNS 服务 器 来 找到 这 侣 域 控制 器 ， 因 此 需要 一 人 台 DNS 服 务 器 ， 并 且 它 需要 支持 SRV 记 
录 ， 同 时 最 好 支持 动态 更 新 、Incremental Zone Transfer 与 Fast Zone Transfer 竺 功能: 


下 SVR 记 录 (Service Location Resouree Record，SRV RR ) : 域 控制 器 需 将 其 所 扮演 
的 角色 注册 到 DNS 服务 器 的 SRV 记 录 内 ， 因 此 DNS 服务 器 必须 支持 此 类 型 的 记录 ， 
Windows Server 的 DNS 服务 器 与 BIND DNS 服务 器 都 支持 此 功能 。 

站 动态 更 新 : 虽然 不 一 定 需要 具备 动态 更 新 功能 ， 但 是 强烈 建议 具备 此 功能 ， 否 则 域 
控制 器 无 法 自动 将 自己 注册 到 DNS 服务 器 的 SRV 记 录 内 、 此 时 便 需 由 系统 管理 员 手 
动 将 数据 输入 到 DNS 服务 器 ， 如 此 势必 增加 管理 负担 ，Windows Server 与 BIND 的 
DNS 服务 器 都 支持 此 功能 。 

外 Ineremental Zone Transfer (IXFR) : 它 让 此 DNS 服务 器 与 其 他 DNS 服务 器 之 间 在 
执行 区 域 传送 【zone transfer) 时 ， 只 会 复制 最 新 变动 记录 ， 而 不 是 复制 区 域内 的 所 
有 记录 。 它 可 提高 复制 效率 ， 碱 少 网 络 负担 。 Windows Server 与 BIND 的 DNS 服务 器 
都 支持 此 功能 。 

忆 Fast Zone Transfer: 它 让 DNS 服务 器 可 以 利用 快速 区 域 传送 将 区 域内 的 记录 复制 给 
其 他 DNS 服务 器 ， 快 速 区 域 忧 送 可 对 数据 压缩 、 村 一 条 传送 消息 内 可 包含 多 条 记 
录 。Windows Server 与 BIND 的 DNS 服务 器 都 支持 此 功能 。 

Windows Server 的 DNS 服务 器 默认 已 启用 快速 区 域 传送 ， 但 有 些 厂 商 的 DNS 服务 器 
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并 不 支持 此 功能 ， 因 此 如 果 要 通过 区 域 传送 将 记录 复制 给 不 支持 快速 区 域 传送 功能 
的 DNS 服务 器 的 话 ， 需 禁用 此 功能 (以 Windows Server 2016 为 例 ) : 【 单 击 左下 角 
开始 图 标 田 2QWindows 管理 工具 23DNSQ 选 中 DNS 服务 器 并 右 击 仿 属 性 如 图 2-1-1 
所 示 匀 选 高 级 选项 卡 下 的 启用 BIND 辅 助 区 域 】- 


这 
DCT 复 性 Fw*” 震 


租 口 。 禁 必 加 高 取 。 候 业 示 天 日 志 事件 日 去 闪 栅 。 去 全 


县 各 宕 所 本 己 人 S)- 
100 14393 0G8391 


和 铬 21-1 


可 以 采用 以 下 两 种 方式 之 一 来 搭建 DNS 服务 器 : 


局 在 将 服务 器 升级 为 域 控制 器 时 ， 同 时 让 系统 自动 在 这 台 服 务 器 上 安装 DNS 服务 器 角 


忆 


色 。 系 统 还 会 自动 在 此 DNS 服务 器 内 建立 一 个 支持 AD DS 域 的 区 域 ， 例 如 AD DS 域 
名 为 sayms.local， 则 其 所 自动 建立 的 区 域名 称 为 sayms:local， 并 自动 启用 安全 动态 更 
新 。 

请 先 在 这 台 即 将 成 为 域 控 制 器 与 DNS 服务 器 计算 机 上 ， 清 除 其 首选 DNS 服务 器 的 IP 
地 址 或 改 为 输入 自己 的 地 址 ( 如 图 2-1-2 所 示 ) ， 无 论 选 择 哪 一 种 设置 方式 ， 升 级 
时 系统 可 以 自动 安装 DNS 服务 器 角色 。 


meneonE 二 Tcrpad 本 并 


图 2-12 


使 用 现 有 DNS 服务 器 或 另外 安装 一 台 DNS 服 务 器 ， 然 后 在 这 台 DNS 服 务 器 内 建立 用 
来 支持 AD DS 域 的 区 域 ， 例 如 AD DS 域 名 为 sayms.local， 则 请 自行 建立 一 个 名 称 为 
sayms ,local 的 DNS 区 域 ， 然 后 启用 动态 更 新 功能 ， 如 图 2-1-3 所 示 为 选择 非 安全 动态 
更 新 ， 如 果 它 是 Active Direetory 集 成 区 域 的 话 ， 则 还 可 以 选择 安全 动态 更 新 。 别 忘 
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了 上 先 在 即将 升级 为 域 控制 器 的 计算 机 上 ， 将 其 首选 DNS 服务 器 的 IP 地 址 指定 到 这 台 
DNS 服务 器 。 


请 通过 【 打开 服务 器 管理 器 3 单 击 仪表 板 处 的 添加 角色 和 功能 Q3…… 了 勾 选 DNS 服务 器 
…… ] 的 方法 来 安装 DNS 服务 器 ， 然 后 通过 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 


工具 23DNS3 选 中 正 向 查找 区 域 并 右 击 2 新建 区 域 ] 的 方法 来 建立 区 域 。 


域 控制 器 需要 利用 磁盘 空间 来 存储 以 下 三 个 与 AD DS 有 关 的 数据 ; 


习 AD DS 数 据 库 : 用 来 存储 AD DS 对 象 
包 日 志文 件 : 用 来 存储 AD DS 数 据 库 的 变动 日 志 
匀 SYSVOL 文 件 内: 用 来 存储 域 共 享 文件 〈 例如 与 组 策略 有 关 的 文件 ) 


它们 都 必须 被 存储 到 本 地 磁盘 内 ， 并 且 SYSVOL 文 件 夹 需 要 位 于 NTFS 磁 盘 分 区 内 。 建 议 


将 AD DS 数 据 库 与 日 志文 件 分 别 存储 到 不 同 的 硬盘 内 ， 一 方面 是 因为 两 块 硬盘 独立 工作 ， 可 
以 提高 工作 效率 ， 另 一 方面 是 因为 分 开 存储 ， 可 以 避免 两 份 数 据 同时 出 现 问题 ， 以 提高 恢复 
AD DS 数 据 库 的 能 力 。 


应 该 将 AD DS 数 据 库 与 日 志文 件 都 存储 到 NTFS 磁 盘 分 区 内 ， 以 便 通过 NTEFS 权 限 来 增加 


这 些 文件 的 安全 性 ， 而 系统 默认 是 将 它们 都 存储 到 Windows Server 2016 的 安装 磁盘 分 区 内 
( 它 是 NTFS 磁 盘 分 区 ) 。 


围 > 


如 果 要 将 AD DS 数 据 库 、 日 志文 件 或 SYSVOL 文 件 夹 存储 到 另外 一 个 NTFS 磁 盘 分 区 ， 但 
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计算 机 内 目前 并 没有 其 他 NTFS 磁 盘 分 区 的 话 ， 可 采用 以 下 方法 来 建立 NTFS 磁 盘 分 区 : 


翌 如 果 磁 盘 内 还 有 未 划分 的 可 用 空 闻 : 此 时 可 以 利用 【 单 击 左下 角 开 始 图 标 
困 人 Windows 管理 工具 仿 计 算 机 管理 纪 存 储 仿 磁 盘 管理 习 选 中 未 配置 的 可 用 空间 并 去 
击 】 的 方法 来 建立 一 个 新 的 NTFS 磁 盘 分 区 。 

外 刊 用 CONVERT 命 令 来 转换 现 有 磁盘 分 区 : 例如 要 将 D; 磁 盘 分 区 (FAT 或 FAT32 ) 转 
换 成 NTFS 磁 盘 的 话 ， 可 执行 CONVERT D: /FS:NTFS 命 令 。 如 果 该 磁盘 分 区 当前 有 
文件 正 处 于 使 用 中 的 话 ， 则 系统 无 法 立刻 执行 转换 的 工作 ， 此 时 可 以 选择 让 系统 在 
下 次 重新 局 动 时 再 自动 转换 。 


AD DS 数 据 库 与 日 志文 件 的 存储 位 置 可 以 事后 利用 ntdsutil 命 令 来 更 改 { 见 第 11 章 ) 。 但 
如 果 要 更 改 SYSVOL 的 存储 位 置 的 话 ， 建 议 采 用 以 下 方法 :删除 域 控制 器 的 AD DS， 然 
后 在 重新 安装 AD DS 时 指定 新 的 存储 位 置 。 


2.2 建立 AD DS 域 


以 下 利用 图 2-2-1 来 说 明 如 何 建立 第 1 个 林 中 的 第 1 个 域 〈 根 域 ) ， 我 们 将 先 安装 一 台 
Windows Server 2016 服 务 器 ， 然 后 将 其 升级 为 域 控制 器 并 建立 域 。 我 们 也 将 搭建 此 域 的 第 2 台 
域 控制 器 〈《Windows Server 2016) 、 第 3 台 域 控制 器 〈Windows Server 2016) 、 一 台 成 员 服 务 
器 〈(Windows Server2016) 与 一 台 加 入 AD DS 域 的 Windows 10 计 算 机 。 


第 1 人 台 域 控制 器 及 第 2 人 台 域 控制 估 
DNS 服务 器 dc2.sayms,local 
dcl.saymslocal 个 JP:192.168.8.2/24 

IP:192.168.8.1/24 尾 DNS:192.168.8.1 


DNS:192.168.8.1 所 


第 3 台 域 控制 器 
(RODC) 
dc3.sayms ,local 
末 曙 _ 1P:192.168.8.3/24 
< 展 S pDNs:o1681 


成 员 服务 器 
ms1.Sayms.local 
ITP:192.168.8.4/24| 
DNS:192.168.8.1 疼 


加 入 域 的 Windows 10 
win10pc1.sayms.local 
1P:192.168.8.5/24 
DNS:192.168:8.1 


建议 利用 Windows Server 2016 HyperV 等 提供 虚拟 环境 的 软件 来 搭建 图 中 的 网 络 环境 。 
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如 果 是 复制 现 有 虚拟 机 的 话 ， 记 得 要 执行 Sysprep.exe 并 勾 选 通用 。 


ED 


如 果 要 对 现 有 域 升 级 的 话 ， 则 林 中 的 域 控 制 器 都 必须 是 Windows Server 2008 { 含 ) 以 上 
的 版 本 ， 而 且 顺 要 先 分 别 执行 Adprep /forestprep 与 Adprep /domainprep 命 令 来 为 林 与 域 执 
行 准备 工作 ， 此 脚本 文件 位 于 Windows Server 2016 安 装 包 support\adprep 文 件 志 中 。 其 他 
| 升级 步骤 与 操作 系统 升级 的 步骤 类 似 。 


我 们 要 将 图 2-2-1 左 上 和 角 的 服务 器 升级 为 域 控制 器 〈 安 装 Acetive Directory 域 服务 ) ， 因 为 
它 是 第 一 台 域 控制 器 ， 因 此 这 个 升级 操作 会 同时 完成 以 下 工作 : 

站 建立 第 一 个 新 林 ; 

当 建立 此 新 林 中 的 第 一 个 域 树 ; 

包 建立 此 新 域 树 中 的 第 一 个 域 ; 

匀 建立 此 新 域 中 的 第 一 台 域 控制 器 。 

换 句 话说 ， 在 建立 图 2-2-! 中 第 一 台 域 控制 器 dcl.sayms.iocal 时 ， 它 就 会 同时 建立 此 域 控 
制 器 所 隶属 的 域 sayms.local、 建 立 域 sayms.local 所 隶属 的 域 树 ， 而 域 sayms.local 也 是 此 域 树 的 
根 域 。 由 于 是 第 一 个 域 树 ， 因 此 它 同时 会 建立 一 个 新 林 ， 林 名 称 就 是 第 一 个 域 树 根 域 的 域名 
sayms .Jocal。 域 sayms,local 就 是 整个 林 的 林 根 域 。 

我 们 将 通过 添加 服务 器 角色 的 方式 ， 来 将 图 2-2-1 中 左上 和 角 的 服务 器 dcl,sayms.local 升 级 
为 网 络 中 的 第 一 人 台 域 控制 器 。 


STEP 和 加 。” 请 先 在 图 2-2-1 中 左上 角 的 服务 器 dcl.sayms.local 上 安装 Windows Server 2016、 将 其 计 
算 机 名 称 设置 为 dc1、IPv4 地 址 等 依照 图 所 示 来 设置 ( 图 中 采用 TCP/IPv4 ) 。 注 意 将 计 
算 机 名 称 设置 为 dc1 即 可 ， 等 升级 为 域 控制 器 后 ， 它 会 自动 被 改 为 dcl,sayms.local。 
STEP 四 。” 打开 服务 器 管理 器 、 单 击 仪表 板 处 的 添加 角色 和 功能 。 
STEP 回 。 持续 单 击 请 于 扩 钮 一 直到 图 2.2.2 中 勾 选 Active Directory 域 服务 、 单 击 别 科技 钮 。 
[有 = 区 本 全 
选择 服务 器 角色 5 
和 由 > 斋 要 要 所 本 务 各 上 的 一个 芭 个 仙 多- 
安 委 关 型 用 包 3 过 
服务 关 选 笠 ES 和 
3 5 D5 全 用 十 轩 ， 声 网 和 再 庆生 于 
or | ee 
| 日 
| Weaswe 
图 222 
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STEP 四 。 持续 单 击 请 扩 钮 ， 直 到 确认 安装 所 选 内 容 界面 中 单 击 柱 阐 近 钮 。 
STEP 回 。 图 2-2-3 为 完成 安装 后 的 界面 ， 请 单 击 将 此 服务 器 提升 为 域 控制 器 。 


| 了 所 FI 

| | 
人 | 
安装 进度 

| 

| | 

[| - 和 | 

| | “EeeiocI | 

| 人 aa 提 waveotaay 有 
| 如 os II 
Zoom 
L 一 | AD D5 乔 理 学 元 和 亲 专 行 工 忆 


如 果 在 图 2-2-3 中 直接 单 击 喘 国 按 钮 ， 则 之 后 要 将 其 升级 为 域 控制 器 的 话 ， 请 如 图 2-2-4 | 
所 示 单 击 服务 器 管理 器 上 方 旗帜 符 号 、 单 击 将 此 服务 器 提升 为 域 控 制 器 。 | 
| 


从 ES 


DCT 中 的 Active Directory 斌 大气 所 村 的 配 轩 


图 224 


STEP 回 。 如 图 2.2-5 所 示 选 择 添加 新 林 、 设 置 林 根 域名 称 { 假设 是 saymslocal ) 、 羊 击 和 
钮 。 
本 Active Direqory 于 有 务 配置 向 号 一 有 
部 署 配置 5 
远 择 部 畦 得 作 
二 CC 4 二 本 0 现 有 ID) 
有 他 选 硕 口 抱 新 城 添加 到 现 有 林 (E) 
下 人 全 而 2 林 站 
本 条 上 三 二 和 
先决 条 件 近 和 汪 二 
图 22-5 
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STEP 贺 。 完成 图 2-2-6 中 的 设置 后 单 击 请 生 于 技 钮 , 

沁 选择 林 功 能 级 别 、 域 功能 级 别 。 此 处 我 们 所 选择 的 林 功 能 级 别 为 Windows Server 
2016， 此 时 域 功能 级 别 只 能 选择 Windows Server 2016。 如 果 选 择 其 他 林 功 能 级 别 的 
话 ， 还 可 以 选择 其 他 域 功能 级 别 - 
默认 会 直接 在 此 服务 器 上 安装 DNS 服务 器 。 

第 一 台 域 控制 器 需要 扮演 全 局 编 录 服务 器 角色 . 

第 一 台 域 控制 器 不 能 是 只 读 域 控制 器 (RODC ) 

设置 目录 服务 还 原 模式 的 系统 管理 员 密码 ; 目录 服务 还 原 模式 ( 目录 服务 修复 模 
式 ) 是 一 个 安全 模式 ， 进 入 此 模式 可 以 修复 AD DS 数 据 库 ， 不 过 进入 目录 服务 还 原 
模式 前 需要 输入 此 处 所 设置 的 密码 ( 详 见 第 11 章 ) 。 


本 Acive pirectory 对 可 本 相声 导 


区 区 区 区 


域 控 制 句 选项 


部 下 要 


图 226 


| 密码 默认 需 至 少 7 个 字符 ， 不 能 包含 用 户 账户 名 称 ( 指 用户 SamAecountName ) 或 全 


| 名 ， 还 有 至 少 要 包含 A - Z、a - z、0 - 9、 非 字母 数字 ( 例如 !、3$、#、% ) 等 4 组 字符 中 
的 3 组 ， 例 如 123abcABC 为 有 效 密 码 ， 而 1234567 为 无 效 密码 。 


STEP 回 。 出 现 图 2.2.7 的 警告 界面 时 ， 因 为 目前 不 会 有 影响 ， 因 此 不 必 理 会 它 ， 直 接 单 击 请 汪 到 
按钮 。DNS 服 务 器 的 相关 说 明 可 参考 《Windows Server 2016 网 络 管理 与 架 站 》 这 本 书 。 


到 Active Directory 二 台 务 置 和 全 Sn 
DNS 选项 ee 
0 恒 二 DNS 要 氢 运 项 
4 DNS SEND) 
其 他 选项 


图 22-7 
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STEP 回 ”在 图 2-2-8 中 会 自动 为 此 域 设 置 一 个 NetBIOS 域 名 ， 也 可 以 更 改 此 名 称 。 如 果 该 
NetBIOS 域 名 已 被 占用 的 话 ， 安 装 程序 会 自动 指定 一 个 建议 名 称 。 完 成 后 单 击 户 到 
按钮 


配 Active Directory 城 呈 务 配置 向 导 ED [ 宛 
其 他 选项 ER 


部 哮 配 畦 


庄 控 制 邮 造 天 一 
DNS 项 NeaB1OS 城 : avws 


图 223 


不 支持 DNS 域名 的 旧版 Windows 系 统 ( 例如 Windows 98、Windows NT ) ， 可 以 通过 
NetBIJOS 域 名 来 与 此 域 通信 。 默 认 的 NetBIOS 名 称 为 DNS 域名 第 一 个 句点 左 侧 的 文字 ， 
全 四 DNS 城 各 aymslocdi 则 VBIOS 霹 名 为 SAYMSs 


STEPE。 在 图 2-2-9 中 可 直接 单 击 请 技 馈 ， 
站 数据 库 文件 夹 : 用 来 存储 AD DS 数 据 库 。 
当日 志文 件 文件 光 : 用 来 存储 AD DS 数 据 库 的 更 新 日 志 ， 此 日 志文 件 可 用 来 修复 AD 


DS 数 据 库 。 
外 SYSVOL 文 件 夹 : 用 来 存储 域 共享 文件 (例如 组 策略 相关 的 文件 ) 。 
本 Actve Directory 域 有 务 乱 时 内 导 
路 径 
| Ne 指定 AD DS 牙医 府 、 日 专文 件 和 SYSVOL 的 位 置 
逢 猴 制 宫 选 项 2 
DNS 上 项 站 
其 他 选 页 百 志 文 必 文 杆 立 (U: 
| 


图 229 
如 果 计 算 机 内 有 多 块 硬盘 ， 建 议 将 数据 库 与 日 志文 件 文件 天 ， 分 别 设置 到 不 同 硬盘 
内 ， 因 为 两 块 硬盘 分 别 工作 可 以 提高 工作 效率 ， 而 且 分 开 存储 可 以 吉 免 两 份 数 据 同 
时 出 现 问题 ， 以 提高 修复 AD DS 数 据 库 的 能 力 。 
STEP E 加 在 查看 选项 界面 中 单 击 证 国 坟 钮 。 
STEP 加 在 图 2-2-10 的 界面 中 ， 若 顺利 通过 检查 的 话 ， 就 直接 单 击 尽 国 按 钮 ， 否 则 请 根据 界面 
提示 先 排除 问题 。 安 装 完成 后 会 自动 重新 启动 。 
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节 下 褒 OaBasv 

吕 人 从 windows Server 2016 辣 2 本 为 他 北 许 Windowy NT 40 基 窜 9n0 醒 寺 芍 安全 

要 要 过 机 计 提 人 了 一 个 如 认 重 ， 名 禁用 这 了 人 ,下 玉 雪 全 洒 通 人 和 时 人 上 合用 切 定理 
ETE 卫 二 


， 清 提 JIR 放 六 便 942564 httpy/go microcoftcomVswinkyy 


图 22-10 
完成 域 控 制 器 的 安装 后 ， 原 本 这 人 台 计 算 机 的 本 地 用 户 账户 会 被 异动 到 AD DS 数 据 库 。 另 


外 由 于 它 本 身 也 是 DNS 服务 器 ， 因 此 会 如 图 2-2-11 所 示 自 动 将 首选 DNS 服务 器 的 由 地 址 改 为 
代表 自己 的 127.0.0.1。 


nternet 协议 版 本 4 (TCP/IPvd) 尾 性 于 


晶 基 
如 果 网 寺 支 持 此 功能 , 则 可 以 下 取 锯 动 折返 的 |P 设置 否则 , 你 需要 从 网 
施 系 统 知 理 员 处 获得 返 尖 的 ip 设置 


口 且 得 Ip 地 址 (O) 
图 便 用 下 而 的 |P 地 直 (Sh 


人 地址 tf 
了 RU 


NIDF 


语 光 但 DNS 服务 基业 址 [B) 


图 22-11 


此 计算 机 升级 为 域 控制 器 后 ， 它 会 自动 在 Windows 防 火 墙 中 例外 开放 AD DS 相 关 的 端 
_” 口 ， 以 便 让 其 他 计算 机 可 以 与 此 域 控制 器 通信 。 


国 > 


第 2 章 建立 AD DS 域 


2.3 ”确认 AD DS 域 是 否 正常 


AD DS 域 建立 完成 后 ， 我 们 来 检查 DNS 服务 器 内 的 SRV 与 主机 记录 、 域 控制 器 内 的 
SYSVOL 文 件 夹 、AD DS 数 据 库 文件 等 是 否 都 已 经 正常 的 建立 完成 。 


2.3.1 检查 DNS 服务 器 内 的 记录 是 否 完备 


域 控制 器 会 将 其 主机 名 、 卫 地址 与 所 扮演 角色 等 数据 注册 到 DNS 服务 器 ， 以 便 让 其 他 计 
算 机 能 够 通过 DNS 服务 器 找到 此 域 控制 器 ， 因 此 我 们 先 检 查 DNS 服 务 器 内 是 和 否 有 这 些 记录 。 
请 利用 域 管理 员 〈sayms\Administrator) 登录 。 


1. 检查 主机 记录 


首先 检查 域 控制 器 是 否 已 将 其 主机 名 与 IP 地 址 注册 到 DNS 服务 器 内 : 【到 兼 具 DNS 服务 

器 角色 的 dcl.sayms.Jocal 上 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 3DNS】， 如 图 2-3-1 所 

示 会 有 一 个 saymas,local 区 域 ， 图 中 主机 〈A) 记录 表示 域 控 制 器 dc1.sayms.local 已 经 正确 地 将 
其 主机 名 与 地 址 注册 到 DNS 服务 器 内 。 

| 吉 DNSs FE 要 二 加 蕊 


六 用 ”BSA “ 理 要 MI 可 二 (H| 
和 趾 | 才 下 | 回 千 冯 | 回 | 下 可 届 


chaymslocal 
19216883 


2.， 利用 DNS 控制 台 检查 SRV 记录 


如 果 域 控制 器 已 经 正确 将 其 所 扮演 角色 注册 到 DNS 服务 器 的 话 ， 则 还 会 有 如 图 2-3-2 所 示 
的 tcp、_udp 等 文件 亚 。 图 中 _tcp 文 件 夹 右 侧 数据 类 型 为 服务 位 置 (SRV) 的 ldap 记 录 ， 表 
示 dcl.sayms.local 已 经 成 功 地 注册 为 域 控制 器 。 由 图 中 的 _gc 记 录 还 可 以 看 出 全 局 编 录 服 务 器 
的 角色 也 是 由 dc1.sayms.local 所 扮演 。 
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太 DNS EE 中 一 1 区 
文 fHFI 强人 (A) 埋 看 (V) 观 芭 (H) 
| 和 趾 [ 负 加 | 国产 区 | 晤 曾 | 二 局 豆 


四 PoolS8I PCLsaymslecaL 
lnools6d pclsaymslocal 


服务 位 置 (SRV) 。 olI1001(389] DC1saymsjcca 


图 232 


LDAP 服 务 器 是 用 来 提供 AD DS 数 据 库 访问 的 服务 器 ， 而 域 控 制 器 就 是 扮演 LDAP 服 务 器 
的 角色 。 


DNS 区 域内 有 了 这 些 数据 后 ， 其 他 要 加 入 域 的 计算 机 ， 就 可 以 通过 此 区 域 来 得 知 域 控制 
器 为 dcl.sayms.local。 其 他 的 域 成 员 计算 机 【成员 服务 器 、Windows 10 等 客户 端 计算 机 ) 默认 
也 会 将 其 主机 与 IP 地 址 数据 注册 到 此 区 域内 。 

域 控制 器 不 但 会 将 自己 所 扮演 的 角色 注册 到 tcp、_sites 等 相关 的 文件 夹 内 ， 还 会 另外 注 
册 到 _ msdes 文 件 均 。 如 果 DNS 服 务 器 是 在 安装 AD DS 时 则 时 安装 的 ， 则 它 除了 会 自动 建立 一 
个 用 来 支持 AD DS 的 区 域 〔【sayms.local) 外 ， 还 会 建立 一 个 名 称 为 _msdcs.sayms.local 的 区 
域 ， 它 是 专 供 Windows Server 域 控制 器 来 注册 的 ， 此 时 域 控制 器 会 将 其 信息 注册 到 
_Imsdcs.sayms.local 区 域内 ， 而 不 是 _msdes 文 件 严 。 如 图 2-3-3 所 示 为 注册 在 _msdcs.sayms.local 
区 域内 的 部 分 记录 。 
羡 DNS 营 理 吴 二 人 


文 fHF|。 强人 F(A) 。 亚 看 (V) 。 孝 动 (H) 
如 中 | 二 轩 |X 国 芭 双 | 占 和 | 让 目 至 


图 233 

在 完成 第 一 个 域 的 建立 之 后 ， 系 统 就 会 自动 建立 一 个 名 称 为 Default-First-Site-Name 的 站 
点 〈site) ， 而 我 们 所 建立 的 域 控制 器 默认 也 是 位 于 此 站 点 内 ， 因 此 在 DNS 服务 器 内 也 会 有 这 
些 记 录 ， 例 如 图 2-3-4 中 位 于 此 站 点 内 扮演 全 局 编 录 服务 器 〈gc) 、Kerberos 服 务 器 、LDAP 


转 2 
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| >#m 二 (FA 查 在 M， 丙 和 (HH) 
和 中 | 末 | 其 导 双 台 | 回合 | 证 局 


图 234 


3. 利用 NSLOOKUP 命令 检查 SRV 记录 
可 以 利用 NSLOOKUP 命 令 来 检查 DNS 服务 器 内 的 SRV 记 录 。 


STEP 贺 。 单 击 左下 角 开 始 图 标 田 3Windows PowerShello 

STEP 回 ”执行 nslookup。 

STEP 加 。 输入 set type=srv 后 按 题 重 键 ， 表 示 要 显示 SRV 记 录 。 

STEP 四 。 如 图 2-3-5 所 示 输 入 _ldap。 tep.dc-_msdes.sayms.local 后 按 蝇 辆 键 ， 由 图 中 可 看 出 域 控 
制 器 dc1.sayms.local 已 经 成 功 地 将 其 扮演 LDAP 服 务 器 角色 的 信息 注册 到 DNS 服务 器 
内 。 


Windows Powershell 


界面 中 之 所 以 会 出 现 “DNS request timed out...” 与 “默认 服务 器 : UnKnown” {( 可 以 不 
必 理 会 这 些 ) ， 是 因为 nslookup 会 根据 TCP/IP 处 的 DNS 服务 器 由 地 址 设置 ， 来 查询 
DNS 服务 器 的 主机 名 ， 但 却 查询 不 到 。 如 果 不 想 出 现 此 消息 ， 可 将 网 络 连接 处 的 
TCRP/IPv6 禁 用 ， 或 修改 TCP/IPv6 设 置 为 “自动 获取 DNS 服务 器 地 址 "， 或 在 DNS 服务 器 建 
立 适 当 的 IPv4/IPv6 反 向 查找 区 域 与 PTR 记 录 。 
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STEP 回 ”还 可 以 利用 更 多 类 似 的 命令 来 查看 其 他 SRV 记 录 ， 例 如 利用 _gc._tcp.sayms.local 命 令 
来 查看 扮演 全 局 编 录 服 务 器 的 域 控 制 器 。 可 以 利用 ls -t SRY sayms.local 命 令 来 查看 所 
有 的 SRV 记 录 ， 不 过 需要 事先 在 DNS 服务 器 上 将 sayms.local 区 域 的 允许 区 域 传 送 权限 
开放 给 查询 计算 机 ， 否 则 查询 会 失败 ， 并 且 会 显示 Query refused 的 警告 消息 。 


2.3.2 ”排除 注册 失败 的 问题 


如 果 因 为 域 成 员 本 身 的 设置 有 误 或 网 络 问题 ， 造 成 它们 无 法 将 数据 注册 到 DNS 服务 器 的 
话 ， 可 在 问题 解决 后 ， 重 新 启动 这 些 计算 机 或 利用 以 下 方法 来 手动 注册 : 


沁 如 果 是 某 域 成 员 计算 机 的 主机 名 与 JP 地址 没有 正确 注册 到 DNS 服务 器 的 话 ， 此 时 可 
到 此 计 草 机 上 执行 ipconfig /registerdns 来 手动 注册 。 完 成 后 ， 到 DNS 服务 器 检查 是 
否 已 有 正确 记录 ， 例 如 域 成 员 主 机 各 为 dcl.sayms,local， 岂 地 址 为 192.168.8.1， 则 请 
检查 区 域 sayms.local 内 是 否 有 dcl1 的 主机 (A) 记录 、 其 IP 地 址 是 否 为 192.168.8.1。 

外 如 果 发 现 域 控制 器 并 没有 将 其 所 扮演 的 角色 注册 到 DNS 服务 器 内 ， 也 就 是 并 没有 类 
似 前 面 图 2-3-2 中 的 tcp 等 文件 夹 与 相关 记录 时 ， 请 到 这 台 域 控制 器 上 利用 【 单 击 左 
下 角 开 始 图 标 困 人 Windows 管理 工具 信服 务 写 如 图 2-3-6 所 示 选 中 Netiogon 服 务 并 右 
击 人 重新 启动 】 的 方式 来 注册 。 

六 9 一 口 X 


六 们 SA 本本 一 HH 
和 中 | 史 司 盛 半 | 目 四 | mW 


2 
列 Niaovoh sofoare shed_ 共 理 - 
办 Miaroroft storage spece- Mia- 
多 NetTcp por sharing Ser-， 更 6- 


车 


| 
和 


篇 Neework Conf 下 


让 


二 


名 
1 
入 


| 域 控制 器 默认 会 自动 每 陋 24 小 时 向 DNS 服务 器 注册 一 次 。 一 | 


2.3:3_ 检查 AD DS 数 据 库 文 件 与 SYSVOL 文 件 夹 


AD DS 数 据 库 文件 与 日 志文 件 默认 是 存储 在 %systemroot%vntds 文 件 夹 内 ， 可 以 利用 【 按 
田 ; 图 键 2 输入 %systemroomtvmtds 单 击 甸 汪 过 钮 】 来 检查 文件 夹 与 文件 是 否 已 经 被 正确 地 创 


国 
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建 ， 如 图 2-3-7 中 的 ntds.dit 就 是 AD DS 数 据 库 文 件 ， 而 edb.log、edb00001.log 等 扩展 名 为 .log 的 


文件 是 日 志文 件 〈 扩 展 名 默认 会 被 隐藏 ) 。 


1 1 加 看 =1Nms = 避 
上 E 情 sm  * ss -四 
和 -下 < 林寺 (K) ，wWindows ，NTDS ~ 局。 这 本 TDSY 

而 人 得 改 日 和 At 
和 图 Apichk 201814/2S 2222 。 枕 自 的 六 件 研 片 8XB 
晤 到 村 图 Aspuog 2018/4/23 22:22 文本 文 多 102408B 
国 Apiooooljog 201814/23 2222 。 雯 本 文 后 10240 KB 
最 之 了 口 Apiesooo0tljs 。。 20181M23 2221 。 JRS 文 件 10240kB 
全 了 口 Apiesoooozjrs a01814/23Z221 。 RS 文 析 1o246 kB 
| Apampleg 201814123 2222 。 六 本文 负 1aa2d0xB 
国 =dbdk 2018/M30 1320 。 包间 的 六 件 研 具 KB 
咬 R 阐 sdblog 20181M130 1320 。 文 二 文 村 1D240 KB 
癌 sdbres0oo01jrs 201814123 2223 。 JRS 文 时 10z40KB 
口 sdbres0o00zjrs 。。 201814/23 2223 。 JRS 文件 19z4okB 
edbtnploa 201814/23 2328 。 文本 六 加 TOa240KB 

鲁 
口 mtdsdir 201814/30 1320 。 PIT 文 隆 20.480 KB 
口 mdsjimm 201814/30 1320 。 JFM 六 件 165HKB 
empued 2018A4/30 1320 。 ED8 文 件 424 妇 
bb 
14 个 上 _ 轩 电 
图 23-7 


另外 SYSVOL 默 认 是 被 建立 在 %sjstemroomt\SYSVOL 文 件 夹 内 ， 因 此 可 以 利用 【 技 田 | 图 
键 3 和 输入 %systemroogt\SYSVOL3 单 击 革 攻 按钮 】 的 方式 来 检查 ， 如 图 2-3-8 所 示 。 


1 1 回 融 = | sysyoL 
天 。 扯 。 
< -个 册 <wndows ，svwsvol ， vv 怕 。 本 sysVDL 
多 修改 日 遇 着 
尖 锯 速 访问 四 
画 s 后 somain 2018/4/23 2228 。 文人 4 闯 
ii 2018/4123 22:21 
末 禄 ?由 日 so df 文人 天 
:aging areas 201814123 2221 。 文件 冯 
罩 北 入 eva 2018/4123 2221 。 文件 友 
于 


图 23-8 


图 中 SYSVOL 文 件 夹 之 下 会 有 4 个 子 文件 亦 ，sysyvol 与 


已 被 设置 为 共享 文件 夹 。 


中 的 scripts 都 被 设置 为 共享 文件 
夹 。 可 以 如 图 2-3-9 所 示 利 用 计算 机 管理 或 如 图 2-3-10 所 示 利 用 netshare 命 令 ， 来 检查 它们 是 否 
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雪 +RE 理 一 癌 共 
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楷 计 蓝 W 答 理 (本 培 ) 和 | 文件 志 算 径 E 二 要 疡 1 | 操作 
让 系 呈 工具 动 ADMIN4 CAWindows Windews 
estams 。 目 mc 名 donr 。 0 |。 有 人 ， 
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Wo 。 胃 


图 23-9 


图 23-10 


2.3.4 新 增 的 管理 工具 


AD DS 安 装 完成 后 ， 通 过 【 单 击 左下 角 开 始 图 标 田 2Windows 管 理工 具 】 可 看 到 新 增 了 
些 AD DS 的 管理 工具 ， 例 如 Aetive Direetory 用 户 和 计算 机 、Aetive Direetory 管 理 中 心 、 
Active Direetory 站 点 和 服务 等 〔〈 如 图 2-3-11 所 示 ) 。 


时 
闪 晤 
2 
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个 萄 < 系 六 和 去 全 ， 管 理 T 具 ， vv 已 记 
有 名 称 修改 日 项 : 
国 5 ws Terminal services 2016/7115 2123 
及 二 司 Active Directory 管理 中 心 71521:19 
司 Active Directory 用 户 和 计算 机 2016/7116 21:20 
汪 Active Directory 域 和 信任 关系 2016/7/16 21:20 
避 | 图 片 过 钴 Active Directory 站 点 和 服务 2016/711621:19 
国 此 电脑 起 ADSI 编 加 器 
总 DNS 
咬 R 黎 倘 iscsl 发 性 序 
icrosoft Azure 服务 
30 个 项 目 
图 2-3-11 


2.3.5 ”查看 事件 日 志文 件 
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可 以 利用 【 单 击 左下 角 开 始 图 标 田 QWindows 管 理工 具 纺 事件 查看 器 】 来 查看 事件 日 志 


文件 ， 以 便 检查 任何 与 AD DS 有 关 的 问题 ， 例 如 在 图 2-3-12: 


1 可 以 利用 系统 、Directory 


Service、DNS Server 等 日 志文 件 来 检查 。 
| 是 a、 一 = 人 区] 
fn aA 下 VRH 
和 史 | 二 到 | 目 到 
[ET “| EREEEE 二 村 
CE 加 -= 
“有 ET 
刘 光 018/M30133047 下 Haiam 
目 蚂 ‖@se 。。。 zmawaotaaws AVI 
目 融 me。 2011Mpo134253 Rn 
Se OOge 20naM0 1432 2 
v 汤 用 可 和子 日 去 国 m ora141a0134H7 和 


图 Aive ovecov we 5 
周 pfs Repfcaton 
司 peaon serice 


Znnaranao iaTa4 


图 23-12 


2.4 ”提升 域 与 林 功 能 级 别 


我 全 


在 1.2 节 内 已 经 解说 过 域 与 林 功能 级 别 ， 此 处 将 介绍 如 何 将 现 有 的 级 别提 高 。 可 以 通 


过 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 3Acetive Direetory 管 理 中 心 了 3 单 击 域名 sayms 
忆 单 击 图 2-4-1 右 方 2 


(本 地 ) 


让 的 方法 来 提升 级 别 。 


Active Director. 《sayms (本 其 (1 人 

京 夺 可 P 国 "” 回忆 
有 直 术 访问 控制 有 
本 身 6 闪 还 8 组 computers 写 吉 Defaukt contai 

本 _Dopmain coprrller 弓 加 单位 Defnuk rnptai' 
月 全 局 搜索 

Buittin 从 
Windows aa 历史 记录 

图 241 
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也 可 以 通过 【 单 击 堪 下角 开始 图 标 人 Windows 管理 工具 忆 Active Direetory 域 和 信任 关系 
3 选 中 Active Directory 域 和 信任 关系 并 右 击 纺 提 升 林 功 能 级 别 】 或 【 单 击 左下 角 开 始 图 标 
已 Windows 管理 工具 23Aetive Direetory 用 户 和 计算 机 驴 选 中 域名 sayms.local 并 右 击 纺 提升 域 
功能 级 别 】 的 方法 。 可 参考 表 2-4-1 来 提升 域 功能 级 别 。 可 参考 表 2-4-2 来 提升 林 功 能 级 别 。 


表 2-4-1 
当前 的 域 功能 级 别 可 提升 的 级 别 
| Windows Server2008 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、 
Windows Server2016/ 
Windows Server2008 R2 Windows Seryer2012、Windows Server2012 R2、Windows Server 2016 
Windows Server 2012 Windows Server2012 R2、Windows Server2016 
Windows Server 2012 R2 Windows Server2016 
表 2-4-2 
当前 的 林 功 能 级 别 可 提升 的 级 别 
Windows Server 2008 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、 
Windows Server 2016 
Windows Server 2008 R2 Windows Server2012、Windows Server 2012 R2、Windows Server2016 
Windows Server 2012 Windows Server2012 R2、Windows Server 2016 
Windows Server 2012 R2 Windows Server2016 


这 些 提升 信息 会 自动 被 复制 到 所 有 的 域 控 制 器 ， 不 过 可 能 需要 花费 15 秘 或 更 久 的 时 间 。 


2.5 “新建 额外 域 控制 器 与 RODC 


个 域内 如 果 有 多 台 域 控制 器 的 话 ， 便 可 以 拥有 以 下 优势 。 
导 改善 用 户 登 录 的 效率 ; 同时 有 多 台 域 控制 器 来 对 客户 瑞 提 供 服务 的 话 ， 可 以 分 担 审 
核 用 户 登 录 身 份 (账户 名 与 密码 ) 的 负担 ， 让 用 户 登 录 的 效率 更 丽 。 

浊 容错 功能 : 如 果 有 域 控 制 器 发 生 故 障 的 话 ， 此 时 仍然 可 以 由 其 他 正常 的 域 控制 器 来 

继续 提供 服务 ， 因 此 对 用 户 的 服务 并 不 会 停止 。 

在 安装 额外 域 控制 器 〈additional domain controlier) 时 ， 需 要 将 AD DS 数 据 库 由 现 有 的 域 
控制 器 复制 到 这 台新 的 域 控制 器 ， 然 而 如 果 数 据 库 非常 庞大 的 话 ， 这 个 复制 操作 势必 会 增加 
网 络 负担 ， 尤 其 是 这 台新 域 控制 器 是 位 于 远程 网 络 内 。 系 统 提 供 了 两 种 复制 AD DS 数 据 库 的 
方式 : 


沁 通过 网 络 直接 复制 : 如 果 AD DS 数 据 库 庞大 的 话 ， 此 方法 会 增加 网 络 负担 、 影 响 网 
络 效率 ， 


围 3 
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沁 通过 安装 媒体 ; 需要 事先 到 一 台 域 控制 器 内 制作 安装 媒体 (installation media) ， 其 
中 包含 着 AD DS 数 据 库 ， 接 着 将 安装 媒体 复制 到 U 盘 ，CD、DVD 等 介质 或 共享 文件 
夹 内 。 然 后 在 安装 额外 域 控制 器 时 ， 要 求 安装 向 导 到 这 个 媒体 内 读 取 安装 媒体 内 的 
AD DS 数 据 库 ， 这 种 方式 可 以 大 幅 降 低 对 网 络 所 造成 的 影响 。 

若 在 安装 媒体 制作 完成 之 后 ， 现 有 域 控制 器 的 AD DS 数 据 库 内 如 果 有 最 新 的 更 改 数 
据 的 话 ， 这 些 少量 数据 会 在 完成 额外 域 控制 器 的 安装 后 ， 再 通过 网 络 自动 复制 过 
来 ， 


2.5.1 ”安装 额外 域 控制 器 


以 下 同时 说 明 如 何 将 图 2-5-1 中 右上 和 角 dc2.sayms,local 升 级 为 额外 域 控制 器 〈 可 读 写 的 域 
控制 器 ) 、 将 右 下 角 dc3.sayms.local 升 级 为 只 读 域 控制 器 (RODC) 。 


第 1 人 台 域 控制 器 要 
DNS 服务 器 
dcl1.sayms.local 
1P:192.168.8.124 上 
DNS;192.168.8.1 


第 2 台 域 控制 器 
dc2.sayms.local 
TP:192.168.8.2/24 
DNS:192.168.8.1 


第 3 台 域 控制 器 
(RODC) 
dc3.sayms.local 
TP:192.168.8.3/24 
DNS:192.168.8.1 


成 员 服务 器 
ms1.Sayms.local 
1IP:192.168.8.4/24 
DNS:192.168SSS 所 


Win10pe1.sayms.local 
TP:192.168.8.5/24 
DNS:192.168.8.1 


图 25-1 


STEP 面 。 先 在 图 2-5-! 中 的 服务 器 dc2.sayms.local 与 dc3.sayms.local 上 安装 Windows Server 2016、 
将 计算 机 名 称 分 别 设置 为 dc2 与 dc3、IPv4 地 址 等 依照 图 所 示 来 设置 ( 图 中 采用 
TCP/IPv4 ) 。 注 意 将 计算 机 名 称 分 别 设置 为 dc2 与 dc3 即 可 ， 等 升级 为 域 控制 器 后 ， 它 
们 会 分 别 自动 被 改 为 de2.sayms local 与 dc3.sayms.local。 

STEP 加 ”打开 服 务 器 管理 器 、 单 击 仪表 板 处 的 添加 角色 和 功能 。 

STEP 回 持续 单 击 请 宇 提 流 钮 ， 在 图 2-5-2 中 义 选 Active Direetory 域 服务 、 单 击 汪 国信 
钮 。 


[ 
Actie Diectaoy 地 ID Dj 了 
| 。 有 关 了 党 上 的 到 的 信息 “并 用 


图 2-5-2 


STEP 四 。 持续 单 击 和 旨 按钮 ， 在 确认 安装 所 选 内 容 界面 中 单 击 要 汪 技 钮 
STEP 回 。 图 2-5-3 为 完成 安装 后 的 界面 ， 请 单 击 将 此 服务 器 提升 为 域 控制 器 。 


[ 语 RAR | 


AD ps 和 AD LDs 工 旧 
Windows PowerShet 的 Active Directory 朋 认 
AD psI 旧 


如 果 在 图 2-5-3 中 直接 单 击 闫 浦 按钮 ， 则 之 后 要 将 其 升级 为 域 控制 器 的 话 ， 请 如 图 2-5-4 
所 示 单 击 服务 器 管理 器 上 方 旗帜 符号 、 单 击 将 此 服务 器 提升 为 域 控 制 器 。 


| 4 me 


DC Aive Dieaory 对 二 


到 要 村 征 ， 忆 下 DC2 上 二 


图 254 


STEP 回 在 图 2-5-5 中 选择 将 域 控制 器 添加 到 现 有 域 、 输 入 域名 saymsJocal、 单 击 杆 囊 护 钮 后 给 
入 有 权限 添加 域 控制 器 的 账户 ( sayms\ Administrator ) 与 密码 。 完 成 后 单 击 证 到 公 
包 : 


辆 xe 
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日 广 
部 署 配置 ee 
本 OO 
Re 0 
二 Ra 
汉 和 县 ro 
和 ap 人) 6 
| ee 
ea se 广 (Esc) 
| 部 署 操 作 的 凭据 
| 
为 本 时 提 人 提供 开 司 
JE 
人 目 0 卫 
图 255 


只 有 Enterprise Admins 或 Domain Admins 内 的 用 户 有 权限 建立 其 他 域 控制 器 。 如 果 现 在 所 
登录 的 账户 不 是 隶属 于 这 两 个 组 ( 例如 我 们 现在 所 登录 的 账户 为 本 地 Administrator ) ， 
则 需要 如 前 景 图 所 示 另 外 指定 有 权限 的 用 户 帐户 。 


STEP 右 。 完成 图 2-5-6 中 的 设置 后 单 击 试 和 测 撤 钮 ， 
匀 选 择 是 否 在 此 服务 器 上 安装 DNS 服务 器 (默认 会 ) ， 
习 选择 是 否 将 其 设置 为 全 局 编 录 服务 器 ( 默认 会 ) . 
选择 是 否 将 其 设置 为 只 读 域 控制 器 ( 默认 不 会 ) ， 如 果 是 安装 dc3.sayms.local 的 话 ， 
请 勾 选 此 复 选 框 。 
浊 设置 目录 服务 还 原 模式 的 管理 员 密 码 (需要 符合 复杂 性 要 求 ) 。 


瑟 Active Directory 城 节 务 配 得 向 导 i 
域 控制 器 选项 


部 奢 配 午 


ji 
8 归 >x 
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STEP 四 。” 如果 在 图 2-5-6 中 未 义 选 只 读 域 控制 器 ( RODC ) ， 请 直接 跳 到 下 一 个 步骤 。 如 果 是 安 


装 RODC 的 话 ， 则 会 出 现 如 图 2-5-7 所 示 的 界面 ， 在 完成 图 中 的 设置 后 单 击 请 生 旨 以 
钮 ， 然 后 跳 到 STEP ED ， 


局 委派 的 管理 员 了 账户: 可 通过 咽 鱼 按钮 未 选择 被 委派 的 用 户 或 组 ， 他 们 在 这 台 RODC 


将 拥有 本 地 系统 管理 员 的 权限 ， 并 且 如 果 采 用 阶段 式 安装 RODC 的 话 〔 后 述 ) 。 则 
他 们 也 可 将 此 RODC 服 务 器 附加 到 ( attach to ) AD DS 数 据 库 内 的 计算 机 账户 ， 默认 
仅 Domain Admins 或 Enterprise Admins 组 内 的 用 户 有 权限 管理 此 RODC 与 执行 附加 操 
作 。 


让 克 许 将 密码 复制 到 RODC 的 账户 : 默认 仅 允 许 组 Allowed RODC Password Replication 


Group 内 的 用 户 的 密码 可 以 被 复制 到 RODC ( 这 个 组 默认 并 无 任何 成 员 ) 。 可 通过 单 
击 号 而 按 锯 未 添加 用 户 或 组 账户 ， 


立 拒绝 将 密码 复制 到 RODC 的 账户 : 此 处 的 用 户 账 户 ， 其 密码 会 被 拒绝 复制 到 


RODC。 此 处 的 设置 优先 于 允许 将 密码 复制 到 RODC 的 账户 的 设置 。 部 分 内 置 的 组 
账户 (例如 Administrators、Server Operators 等 ) 默认 已 被 列 于 此 列表 内 。 可 以 通过 
单 击 桥 狼 核 妞 玉 添 加 用 户 或 组 账户 。 


下 Acive pyecory 基本 9 二 这 衣 
RODKC 选项 0 
| 
和 全 相 广 
12 制 和 法 斋 一 
et ER 
| 
R 人 村 了 和 央 列 ROOC 的 大) 
和 SawMSVulowed RDDC password Replicadon Group [CE 
忆 em 
天 到 作 只 人 
全 奋 本 昌 抽 到 RODC 的 怕 疡 人 | 
[TOWER ET 
ULnNsewerOpealorr 一 二 


BUnLTINVBacdaup Operators 
| 癌 于 全 - 体 户 损人 放 又 视 拒 志 ， 基 下 地 代 先 - 


图 2.527 


STEP 回 。 如 果 不 是 安装 RODC 的 话 ， 会 出 现 如 图 2-5-8 所 示 的 界面 ， 请 直接 单 击 证 和 


国 xs 


在 安装 域 中 的 第 一 合 RODC 时 ， 系 统 会 自动 建立 与 RODC 有 关 的 组 账户 ;这些 账 户 会 自 
动 被 复制 给 其 他 域 控制 器 ， 不 过 可 能 需要 花费 一 点 时 间 ， 尤 其 是 复制 给 位 于 不 同 站 点 的 
域 控制 器 。 之 后 在 其 他 站 点 安装 RODC 时 ， 若 安装 向 导 无 法 从 这 些 域 控制 器 得 到 这 些 组 
信息 的 话 ， 它 会 显示 警告 信息 ， 此 时 等 这 些 组 信息 完成 复制 后 ， 再 继续 安装 这 台 
RODC。 


支 钮 。 
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蕊 Active Directory 域 情 务 配 秆 向 导 三 吉 人 
DNS 选项 ES 


二 无法 名 肆 该 DNS 服务 显 的 委 活 , 因为 无 法 扰 到 有 权威 的 父 区 井 或 者 亡 未 运行 Windows DNS 本 务 吾 。 知 - 显示 详细 合生 
部 寺 配 填 


了 DNS 大 
一 更 新 DNS ERD) 
其 地 法 岳 
图 2.5-8 
STEP 在 图 2-5-9 中 单 击 请 生 测 按钮 ， 它 会 直接 从 其 他 任何 一 台 域 控制 器 复制 AD DS 数 据 库 < 
| 配 Arhve Direcor 过 和 本 村 和 等 一 特 二 必 
| 
| 其 他 选项 [ 宇 
和 内 人 本 安 对 [FM 诡 须 
拓扑 0 
DN5 雷 奔 
机 
3 Pi; E 习 
直 看 选 质 
先决 人 拓 站 
图 259 


STEP 加 。 在 图 ?-5-10 中 可 直接 单 击 文生 提 技 钮 。 
数据 库 文件 类: 用 来 存储 AD DS 数 据 库 。 


浊 日 志文 件 文件 天 : 用 来 存储 AD DS 数 据 库 的 更 改 日 志 ， 此 日 志文 件 可 被 用 来 修复 AD 
DS 数 据 库 ， 


习 SYSVOL 文 件 央 : 用 来 存储 域 共享 文件 ( 例如 组 策略 相关 的 文件 ) - 


| 天 Aaive Dieato aa 本 和 9 


路 径 


已 尺 
目 4 本 夯 避 
[> 


下 看 揭 店 
| 先决 条 件 夫 要 


图 25-10 
STEP 8 四 。 在 查看 选项 界面 中 单 击 请 半天 以 钮 。 


STEP 绩 在 图 2-5-11 界 面 中 ， 如 果 顺 利通 过 检查 的 话 ， 就 直接 单 击 颖 一 按钮 ， 否 则 请 根据 界面 
提示 先 排除 问题。 
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[Ya | 
| | 
| 先决 条 件 检查 | 


合 ev 

从 wrapr srves 201e amg 央 区 后 Windowns NI L0 吉首 坟 二 
本 本 了 下 各“ 痢 ， 拉 时 人 了 全 是 人 建立 安全 人生 上 人 RD 和 
SS 于 


首 拘 措 本 大 
DG BE 
日生 吉本 
和 
伯 8 志 记 
安 二 二 二 SOT 间 sa7564 hr/gn maoroltcoruytwluy 


图 25-11 

STEP 罗 安装 完成 后 会 自动 重新 启动 ， 请 重新 登录 。 

STEP 上 检查 DNS 服务 器 内 是 否 有 域 控制 器 dc2.sayms.local 与 dc3.sayms.local 的 相关 记录 ( 参考 
前 面 2.3,1 节 检查 DNS 服务 器 内 的 记录 是 否 完备 ) 。 


这 两 台 域 控制 器 的 AD DS 数 据 库 内 容 是 从 其 他 域 控制 器 复制 过 来 的 ， 而 原本 这 两 台 计 算 
机 内 的 本 地 用 户 账户 会 被 出 除 。 


2.5.2， 利 用 安装 媒体 来 安装 额外 域 控制 器 


我 们 将 先 到 一 台 域 控制 器 上 制作 安装 媒体 〈installation media) ， 也 就 是 将 AD DS 数 据 库 
存储 到 安装 媒体 内 ， 并 将 安装 媒体 复制 到 U 盘 、CD、DVD 等 媒体 或 共享 文件 夹 内 。 然 后 在 安 
装 额 外 域 控制 器 时 ， 要 求 安装 向 导 从 安装 媒体 来 读 取 AD DS 数 据 库 ， 这 种 方式 可 以 大 幅 降 低 
对 网 络 所 造成 的 负担 。 


1， 制作 安装 媒体 
请 到 现 有 的 一 台 域 控制 器 上 执行 ntdsutil 命 令 来 制作 安装 媒体 ， 


久 如 果 此 安装 媒体 是 要 给 可 读 写 域 控制 器 来 使 用 的 话 ， 则 需要 到 现 有 的 一 台 可 读 写 域 
控制 器 上 执行 ntdsutil 命 令 。 

习 如 果 安 装 媒体 是 要 给 RODC (只 读 域 控制 器 ) 来 使 用 的 话 ， 则 可 以 到 现 有 的 一 台 可 
读 写 域 控 制 器 或 RODC 上 执行 ntdsutil 命 令 。 


STEP 翻 。 请 到 域 控 制 器 上 利用 域 管 理 员 的 身份 登录 。 
STEP 加 。 单 击 左下 角 开 始 图 标 田 Q Windows PowerShello 


图 % 


STEP 回 


STEP 四 


STEP 上 四 


STEP 加 


输入 以 下 命令 后 按 通 调 键 ( 操作 界面 可 参考 图 2-5-12 ) : 
tastt 订 

在 ntdsutil: 提示 符 下 ， 执 行 以 下 命令 ; 

activate imstance ntds 


它 会 将 此 域 控制 器 的 AD DS 数 据 库 设置 为 使 用 中 。 
在 ntdsutil: 提示 符 下 ， 执 行 以 下 命令 


fm 
在 iftm: 提示 符 下 ， 执 行 以 下 命令 ， 


Create ”SysvoL fulI czNIinstallationMedia 
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这 条 命令 假设 是 要 将 安装 媒体 的 内 容 存 储 到 C:\InstallationMedia 文 件 夹 。 


其 中 的 sysvol 表 示 要 制作 包含 ntds.dit 与 SYSVOL 的 安装 媒体 ，fall 表 示 要 制作 供 可 读 写 域 控 
制 器 使 用 的 安装 媒体 ， 如 果 是 要 制作 供 RODC 使 用 的 安装 媒体 的 话 ， 请 将 full 改 为 rodeo 


STEP 加 


STEP 回 


2 


连续 执行 两 次 quit 命 令 来 结束 ntdsutil。 图 2-5-12 为 部 分 的 操作 界面 。 


音 管理 员 ; Windows PowerShell 


图 2-5-12 


将 整个 CInstallationMedia 文 件 夹 内 的 所 有 数据 复制 到 U 盘 、CD、DVD 等 媒体 或 共享 


文件 夹 内 。 


安装 额外 域 控制 器 


将 包含 安装 媒体 的 U 盘 、CD 或 DVD 拿 到 即将 扮演 额外 域 控制 器 角色 的 计算 机 上 ， 或 是 将 
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其 放 到 可 以 访问 到 的 共享 文件 夹 内 。 

由 于 利用 安装 媒体 来 安装 额外 域 控制 器 的 方法 与 前 一 节 大 致 上 相同 ， 因 此 以 下 仅 列 出 不 
同 之 处 。 以 下 假设 安装 媒体 被 复制 到 即将 升级 为 额外 域 控制 器 的 服务 器 的 CAInstallationMedia 
文件 夹 内 : 在 图 2-5-13 中 选择 指定 从 介质 安装 〈IFM) 选项 ， 并 在 路 径 处 指定 存储 安装 媒体 
的 文件 夹 C:\installationMedia。 


本 Acave Directory 基本 务 配 于 内 导 2 
其 他 选项 到 
| 
和 从 个 区 安生 FM 还 琐 | 
和 男人 hss) | 
DNS 半 末 下 metatanonMeau = saw | 
器 人 握 二 其 从 旧制 运 项 | 
直 看 运 项 和 划 自 中 : Eee "四 | 

图 25-13 


安装 过 程 中 会 从 安装 媒体 所 在 的 文件 夹 CInstallationMedia 复 制 AD DS 数 据 库 。 如 果 在 安 
装 媒体 制作 完成 之 后 ， 现 有 域 控制 器 的 AD DS 数 据 库 产生 新 的 更 新 数据 的 话 ， 这 些 少量 数据 
会 在 完成 额外 域 控制 器 安装 后 ， 再 通过 网 络 自动 复制 过 来 。 


2.5.3， 更 改 RODC 的 委派 与 密码 复制 策略 设置 


如 果 要 更 改 密码 复制 策略 设置 或 RODC 管 理工 作 的 委派 设置 的 话 ， 请 在 打开 Aetive Directory 
用 户 和 计算 机 后 : 【如 图 2-5-14 所 示 单 击 容器 Domain Controllers 右 侧 扮演 RODC 和 角色 的 域 控制 器 
忆 单 击 上 方 的 属性 图 标 纺 通过 图 2-5-15 中 的 密码 复制 策略 与 管理 者 选项 卡 进行 设置 】。 
习 Active Directory 用 户 和 计算 机 一 口 X 


文 作 中 “各 f#IA) 豆 看 V) 大 了) 


[ET ET 国运 要 | 碧 加 | 也 久久 于 下 也 


瑟 Active Directory 用 户 和 计算 机 || 名 称 线 型 DC 美 型 基点 搞 述 
> 潭 全 和 的 查询 晨 ocl HHRW 6C DefaultFirst-Ste-Neme 
志 靖 二 风 内 bc。 计 滤 册 6C DelaultFrstSite-Name 

>》 区 Buiin 


》 司 Forelgnsecurigprincp 


图 2-5-14 
也 可 以 通过 Acetive Directory 管 理 中心 来 更 改 上 述 设置 : 打开 Aetive Directory 管 理 中 心 
后 ， 如 图 2-5-16 所 示 【 选 择 容器 Domain Controllers 界 面 中 间 扮 演 RODC 和 角色 的 域 控制 器 信 单 
击 右 侧 的 属性 2 通过 图 2-5-17 中 的 管理 者 小 节 与 扩展 小 节 中 的 密码 复制 策略 选项 卡 进行 设 
置 】。 
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DC3 尾 性 3? X 
采 珊 操作 拓 统 ， 素 属 于 “ 生 折 [ 
这 是 一 个 只 这 过 制 吕 (RODC，RODC 概 交 下 面 的 第 由 下 全 用 户 和 计算 机 志 
码 。 只 总 角 于 -允许 -组 上 不 属于 - 拒 交 " 衣 的 帐户 的 密码 复制 到 RODC 中 
DC3 属性 了 共 
组 、 用 户 和 计算 儿 
[有 第 规 。 报 F 系 统 ， 隶 尾 于“ 委 浙 。 记 码 复制 策 旺 “位置 (ee ) 
| Account Dperators| 
Administrators 仁和 
Alowed RODC pas nn 
| 更 疏 (H)~ 
机 下 是 tEPRR |. 
Denied RODC pass| 。 研 主 泪 可 以 苇 理 此 RODC 
Server Operators 
国家 /地 区 (U): 
图 2515 
E 
Active Director.，《 “Domain Controllers (3) 人 和 
E(B 1a 去 辟 z 厅 面 
[ 5 5 
局 信 吉大 SN on E 
电 和 目 pcr 。 Ra DefaukFintshe-Name 和 
了 DCcz2 全 局 孙 逢 动 _ 
ER 二 : 
“ 五 tar 昌 = 天 信 建 只 坡 过 演 制 赂 性 广 - 
poG 
二 二 十 让 可 
Windows PowerShell 历史 记录 四 
图 2.5-16 
5 口 X 
DC3 鲍 全 
计 相 ktc) 管理 者 区 的 芒 “ 
二 属国 五 0 
BO 下 
第 路 
才 k8 | DC3 去 计 
了 RD | Ha ; 
生理 者 (8) 
三 浊 | 成 只 昌 
外 
| 接收 路 坦 、 用 户 和 计算 机 - 
委派 (D) 名 称 Aciive Directory 逢 器 务 -。 如 本 | 
Account Operators Saymsjocal/Buitin 拒 治 
Administrators SaymsJocal/Buikin 了 
Alowed Robc pacewor samsloeatuser 4 
aa 于 医 本 本 
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2.6 RODC 阶 段 式 安 装 


可 以 采用 两 个 阶段 的 方式 来 安装 RODC 〈 只 读 域 控制 器 ) ， 这 两 个 阶段 是 分 别 由 不 同 的 
用 户 来 完成 ， 这 种 安装 方式 通常 是 用 来 安装 远程 分 公司 所 需 的 RODC。 
外 第 1 阶段 : 建立 RODC 账 户 
此 阶段 通常 是 在 总 公司 内 执行 ， 并 且 只 有 域 管理 员 ( Domain Admins 组 的 成 员 ) 才 有 
权限 来 执行 这 一 阶段 的 工作 。 在 此 阶段 内 ， 域 管理 员 需 要 在 AD DS 数 据 库 内 为 
RODC 建 立 计算 机 账户 、 设 置 选项 、 将 第 2 阶段 的 安装 工作 委派 给 指定 的 用 户 或 组 。 
匀 第 2 阶段 : 将 服务 器 附加 到 RODC 账 户 
此 阶段 通常 是 在 远程 分 公司 内 执行 ， 被 委派 的 用 户 有 权限 在 此 阶段 来 完成 安装 
RODC 的 工作 。 被 委派 的 用 户 并 不 需要 具备 域 管理 员 权限 。 如 果 没 有 委派 其 他 用 户 
或 组 的 话 ， 则 默认 只 有 Domain Admins 或 Enterprise Admins 组 内 的 用 户 有 权限 执行 这 
个 阶段 的 安装 工作 。 
在 此 阶段 内 ， 被 委派 的 用 户 需要 在 远程 分 公司 将 即将 成 为 RDODC 的 服务 器 附加 
(attach ) 到 第 1 个 阶段 中 所 建立 的 计算 机 账户 ， 便 可 完成 RODC 的 安装 工作 。 


2.6.1 建立 RODC 账 户 


- 般 来 说 ， 阶 段 式 安装 主要 是 用 来 在 远程 分 公司 〈 另 外 一 个 AD DS 站 点 内 ) 安装 
RODC， 不 过 为 了 方便 起 见 ， 本 节 以 它 是 被 安装 到 同一 个 站 点 内 为 例 来 说 明 ， 也 就 是 默认 的 
站 点 Default-First-Site-Name。 以 下 步骤 说 明 如 何 采 用 阶段 式 安装 方式 ， 来 将 图 2-6-1 中 右 下 角 
的 dc4.sayms.local 升 级 为 只 读 域 控制 器 (RODC) 。 


第 1 台 域 控制 器 久 


DNS 服务 器 第 2&3 台 域 控制 器 
del.saymstlocal 下 dc2.saymstlocal 玉 
TP:192.168.8.1/24 dc3saymslocal 


DNS:192.168.8.1 


第 4 台 域 控制 器 

(RODC) 
成 员 服务 器 攻 de4.saymslocal 
msl.sayms:local 下 JP:192.168.8.6/24 
JP:192.168.8.4/24| DNS:192.168.8.1 


DNS:192.168.85.1 SS 

人 加 入 域 的 Windows 10 

winl0pel.sayms,local 
JP:192.168.8.5/24 


DNS;:192.168.8.1 


STEP 回 
STEP 


STEP 
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请 到 现 有 的 一 合 域 控 制 器 上 利用 域 系统 管理 员 身 份 登录 。 


单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 23Aetive Directory 用 户 和 计算 机 驴 如 
6-2 所 示 选 中 容器 Domain Controllers 并 右 击 2 预 创建 只 读 域 控制 器 账户 ( 如 果 使 用 


Aetive Directory 管 理 中 心 的 话 ， 参 考 图 2-6-3 ) 。 


了 Anive preaon 用 mi -  x 
文 q 有。 一 fs。 焉 看 NM 天 了 (HH) 
和 路 | 站 四 | 帮 白 | 其 国 瑟 可 | 目 回 | 久久 忆 了 百 包 
| 本 Aaive preaoy 用 FSWLICA]| 2 克 和 一。 DCE。 克 < 有 呈 
三 全 的 覃 询 | 本 oc im。 G Defaah-Frstsae-Name 
计 虹 机。 GC DeaucFrstshe -Name 


计 荆 机 只 枉 , GC 。 DefeultFrstSihe-Name 


图 262 


如 图 2- 


日 save oreaon wo 


Windows Powershell JR 有 


图 263 
6-4 所 示 色 选 使 用 高 级 模式 安装 后 羊 击 请 和 浊 仿 钮 。 


画 Acive Diredory 莽 可 和 安装 冉 导 


此 向导 有 助 于 为 只 读 城 控制 器 (RODC) 创 建 帐户 。 通 过 在 你 才 望 
成 为 RODC 的 服务 器 上 运行 此 庙 导 , 可 将 此 服务 器 附加 到 此 帐 
户 . 


回合 有 可 级 模式 妆 竺 A) 


图 264 


STEP 四 。 当前 登录 的 用 户 为 域 Administrator， 他 有 权限 安装 域 控制 器 ， 故 请 在 图 2-6-5 中 点 选中 


我 的 


当前 登录 凭据 后 单 击 请 旨 仿 钮 。 


4 转 
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图 Adive Directory 名 最 务 安 半 向导 


硬 入 位 于 计 基 安 交 2 和 9 所 是 的 栖 中 任何 城 的 名 格 (T): 


aymsjocal 


5 


ES 


| 
| 


若 当 前 登录 的 用 户 没有 权限 安装 域 控制 器 的 话 ， 请 选中 图 中 的 备用 凭据 ， 然 后 通过 单 击 


| 和 按钮 来 输入 有 权限 的 用 户 名 与 密码 。 
STEP 回 。 在 图 2-6-6 中 输入 即将 扮演 RODC 角 色 的 服务 器 的 计算 机 名 称 ， 例 如 dc4， 完 成 后 单 击 
计生 拓 拉 包 。 
古 Adive Direciory 城 骂 务 去 半身 导 
扰 二 计算 机 名 


图 2646 
STEP 回 ”在 图 2-6-7 中 选择 新 域 控制 器 所 在 的 AD DS 站 点 
First-Site-Name。 请 直接 单 击 靖国 玉 钮 。 


， 目 前 只 有 一 个 默认 的 站 点 Default- 
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图 26-7 


在 图 2-6-8 中 直接 单 击 贞 按钮 。 由 图 中 可 知 它 会 在 此 服务 器 上 安装 DNS 服务 器 ， 同 
时 会 将 其 设置 为 全 局 编 录 服 务 器 ， 并 自动 勾 选 只 读 域 控制 器 ( RODC ) 。 


加 Active Directory 城 务 安 半身 导 


STEP 加 


X 


回 全 向 纺 录 (G) 
只 站 城 本 制 吕 (AODCJR) 
其 他 信息 (A)- 


无 法 确定 注册 为 该 域 的 权威 名 称 最 务 器 的 DNS 慑 务 需 的 数目 ， 异 误 ; 措 定 的 网 络 
名 咎 式 无 允 . 


图 268 
2-6-9 来 设置 指定 密码 复制 策略 : 图 中 默认 仅 允 许 组 Allowed RODC Password 
Replication Group 内 的 用 户 的 密码 可 以 被 复制 到 RODC !( 此 组 内 默认 并 无 任何 成 员 ) ， 


并 且 一 些 重要 账户 ( 例如 Administrators、Server Operators 等 组 内 的 用 户 ) 的 密码 已 明 


确 地 被 拒绝 复制 到 RODC。 可 以 通过 单 击 勤 测 按 钮 来 添加 用 户 或 组 账户 ， 单 击 庙 半 浊 
按钮 


症 Acive Directory 城 务 去 特 向 导 


STEP 回 ”通过 图 


在 要 码 复制 策 芋 中 ， 你 可 以 措 定 允许 才 些 灾 码 复制 到 只 许 城 控制 避 (RODC] 或 生地 肝素 由 
户 复制 到 RODC. 


添加 或 只 你 要 区 许 插 其 室 码 复制 到 此 RODC 的 任何 帐户 ， 或 你 要 拒 地 符 其 证 码 复 惠 到 此 


RODC 的 全 同 由 户 - 
诠 _ 用 户 和 得 WG 
和 Adive Direaon 由 和 -。 认可 医 二 7 可 
Administrators aymslocalBuilin 拒绝 二 
Sevecoperaor 。。 seoaaVBuin 条 El 
Js DR aymslocalBuilin 扰 雹 
Account Operators aymsjocalrBuitin 重光 
Denied RODC Password.， saymsjocel/Users 拒 雹 
Alowed RODC pasewor- samslocaluser 1 


图 26-9 
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在 安装 域 中 的 第 1 台 RODC 时 ， 系 统 会 自动 建立 与 RODC 有 关 的 组 账户 ， 这 些 账 户 会 自动 
被 复制 给 其 他 域 控 制 器 ， 不 过 可 能 需要 花费 一 点 时 间 ， 尤 其 是 复制 给 位 于 不 同 站 点 的 域 
控制 器 。 之 后 在 其 他 站 点 安装 RODC 时 ， 如 果 安 装 向 导 无 法 从 这 些 域 控 制 器 得 到 这 些 组 
信息 的 话 ， 它 会 显示 警告 信息 ， 此 时 请 这 些 组 信息 完成 复制 后 ， 再 继续 安装 这 人 台 
RODC。 


STEP 回 在 图 2-6-10 中 将 安装 RODC 的 工作 委派 给 指定 的 用 户 或 组 ， 图 中 将 其 委派 给 域 
(SAYMS ) 用 户 george。 RODC 安 装 完成 后 ， 该 用 户 在 这 人 台 RODC 内 会 自动 被 赋 子 本 

地 系统 管理 员 的 权限 ， 单 击 请 生生 扩 钮 
画 Active Directory 过 醒 务 去 拓 问 导 X 
用 于 RDDC 安 半 和 管理 的 委派 


办 或 用 户 (G) 


二 [Ce 


会 只 有 对 此 RODC 的 本 地 管理 权限 


图 2610 
STEP 由 接 下 来 依次 单 击 荐 等 天 拉锯 、 罚 员 扩 钮 ， 图 2.6-11 为 完成 请 的 界面 。 


卫 Aaive pyecton 用 庆 和 H 划 机 
六 #m 规 fEA) 吾 看 MIH) 
和 和 哮 | 立 硬 | 记 | 国 后 全 | 四 可 | 六 了 译 苑 了 百色 


图 2611 


2.6.2 ”将 服务 器 附加 到 RODC 账 户 


STEP 同 ”请 在 图 2-6-1 中 右边 的 服务 器 dc4.sayms.local 上 安装 Windows Server 2016、 将 其 计算 机 
名 称 设置 为 de4、JPv4 地 址 等 依照 图 所 示 进 行 设置 ( 此 处 采用 TCP/IPv4 ) 。 请 将 其 计算 


圆 4 
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机 名 称 设置 为 dc4 即 可 ， 等 升级 为 域 控 制 恬 后 ， 它 会 自动 被 改 为 de4.sayms,local。 
STEP 回 。 打开 服务 器 管理 器 、 单 击 仪表 板 处 的 添加 角色 和 功能 。 
STEP 回 。 持续 单 击 斌 二 强 按 钮 ， 在 图 2-6-12 中 义 选 Aetive Direetory 域 服务 ， 单 击 演 泣 坟 借 扩 


钮 。 

EeeEae 人 
| 
| 选择 服务 器 角色 5 
| 于 站 2 要 雪村 二 可 皇上 的 一 和 全 个 从 

gx he 外 

简装 攀 志 任 癌 active Directery Fighws Managemwnt Servicm Active Directony 过 服务 (AD DS) 存 
汪汪 生生 全 
| es 本 2223Soeeeee | 

图 26-12 
STEP 四。 持续 羊 击 请 二 旨 以 钮 ， 在 确认 安装 选项 界面 中 单 击 要 吁 按钮 。 


STEP 加 


如 果 在 图 2-6-13 中 直接 单 击 匡 六 按钮 ， 则 之 后 要 将 其 升级 为 域 控制 器 的 话 ， 请 单 击 服务 
器 管理 器 上 方 旗帜 符号 并 单 击 将 此 服务 器 提升 为 域 控制 器 。 


STEP 回 。 在 图 2-6-14 中 选择 将 域 控制 器 添加 到 现 有 域 ， 输 入 域名 sayms local， 单 击 硬 现 接 钮 后 
输入 被 委派 的 用 户 名 称 { saymsvgeorge ) 与 密码 后 单 击 病 届 氛 钮 、 请 间接 包 ， 


可 输入 被 委派 的 用 户 账户 、Enterprise Admins 或 Domain Admins 组 内 的 用 户 账 户 。 
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[Fw 于 
部 署 本 轩 | 
FEEE  。-- | 

而 插 进 入 介 妹 天 加 富 浊 有 二 [D) | 
0 | 
口 和 up 
aaaae | 
aaor CE CE 
Windowr 安全 性 革 en 
部 畦 操作 的 凭据 民 e- 


ET] 他 
域 sayms 
人 
图 2614 


STEP 贺 。 接 下 来 会 出 现 如 图 2-6-15 所 示 的 界面 ， 由 于 其 计算 机 账户 已 经 事先 在 AD DS 内 创建 完 
成 ， 因 此 会 多 显示 图 上 方 的 两 个 选项 。 在 选择 默认 的 选项 与 设置 目录 服务 还 原 模式 的 
管理 员 密码 后 ( 需 符合 复杂 性 要 求 ) 单 击 斌 站 虽 们 钮 


让 二 本 人 工学 计 
| 域 近 制 吕 选 项 汪 
| [AGRIGCRREESEGGGOSE RARENNOGCRREGERSREC EREIE 
| aaoocwcm 
| Rs 
| 站 城 全 匡 的 (DNS) 国 每 器 (O) 
mep Ron 
sn Da | 
图 2615 
STEP 回 。 在 图 2-6-16 中 单 击 请 蝎 钮 ， 它 会 直接 从 其 他 任何 一 合 域 控制 器 复制 AD DS 数 据 库 。 
[ 开 wee proaon mwERaG nn 三 折 过 ] 
其 他 选项 | 
| 
部 要 配置 
和 he | 
|] “有 人 再 其 他 复 灯 示 吕 | 
| ma em ae | 
图 2616 
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STEP 回 。 接 下 来 的 路 径 与 查看 选项 界面 中 都 可 直接 单 击 请 拉锯 。 
STEP 占 在 如 图 2-6-17 所 示 的 界面 中 ， 如 果 顺 利通 过 检查 ， 就 直接 单 击 枉 按钮 ， 否 则 请 根据 
界面 提示 先 排除 问题。 


瑟 Arve Ceecon Ma 一 口 有 
先决 条 件 检查 0 
[EEC ET 

部 帮 瑟 浪 
竹本 Actve Drvaony 
各 本 本 有 1 得 
je 可 
有 mawmv 一 
而 抽 DRPPSHHER 


全 0 果 人 去 二 本， 所 和 代 旨 人 有 后 王者 本 了 拓 务 尖 ， 


图 2617 
STEP 加 安装 完成 后 会 自动 重新 启动 。 请 重新 登录 。 
STEP 天 图 2-6-18 为 完成 后 ， 通 过 Acetive Direetory 用 户 和 计算 机 控制 台所 看 到 的 界面 ， 其 中 
DC4 图 形 上 原本 的 向 下 箭头 已 消失 。 


也 Acive piedor 用 F 和 H 了 机 - 吾 义 
人 
旬 吊 | 古 阿 | 白 | 国 辣 半 | 目 加 | 全 入 让 了 忆 息 


图 26-18 


2.7 ”将 Windows 计 算 机 加 入 或 脱离 域 


Windows 计 算 机 加 入 域 后 ， 便 可 以 访问 AD DS 数 据 库 与 其 他 域 资 源 ， 例 如 用 户 可 以 在 这 
些 计算 机 上 利用 域 用 户 账 户 来 登录 域 ， 并 利用 此 账户 来 访问 其 他 域 成 员 计算 机 内 的 资源 。 以 
下 是 可 以 被 加 入 域 的 计算 机 : 
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Windows Server 2016 Datacenter/Standard 

Windows Server 2012 ( R2 ) Datacenter/Standard 

Windows Server 2008 (R2 ) Datacenter/Enterprise/Standard 
Windows 10 Enterprise/Pro/Education 

Windows 8.1 (8) Enterprise/Pro 

Windows 7 Ultimate/ Enterprise/Professional 

Windows Vista Ultimate/Enterprise/Business 


区 区 区 区 区 区 必 


27.1 将 Windows 计 算 机 加 入 域 


我 们 要 将 图 2-7-! 左 下 角 的 服务 器 msl 加 入 域 ， 假 设 它 是 Windows Server 2016 Datacenter; 


同时 也 要 将 下 方 的 Windows 10 计 算 机 加 入 域 ， 假 设 它 是 Windows 10 Pro。 以 下 利用 服务 器 msl 


〔〈Windows Server2016) 来 说 明 。 


第 1 台 域 控制 器 入 
DNS 服务 器 
dcl.saymslocal 
[P:192.168.8.1/24 民 

DNS:192.168.8.1 SS 
SS 


第 2 台 域 控制 器 
dc2.sayms,local 
TP:192.168.8.2/24 
DNS:192.168.8.1 


第 3 台 域 控制 器 
(RODC) 
dc3.saymslocal 
晶 -1p:192.168.83124 
ES DNS:192.168.8: 


成 员 服 务 器 长 
msl.sayms.local 
JP:192.168.8.4/24 属 
DNS:192.168.8.1 写 


加 入 域 的 Windows 10 
win10pclsayms.local 
1P:192.168.8.5/24 

DNS:192.168.8.1 


加 入 域 的 客户 端 计算 机 ， 其 计算 机 账户 默认 会 自动 被 建立 在 Computers 容 器 内 ， 如 果 想 
将 此 计算 机 账户 放置 到 其 他 容器 或 组 织 单位 的 话 ， 可 以 事先 在 该 容器 或 组 织 单位 内 建立 
此 计算 机 账户 。 如 果 是 使 用 Acetive Direetory 用 户 和 计算 机 : 【 选中 该 容器 或 组 织 单位 并 
右 击 人 新 建 纺 计算 机 】， 如 果 是 使 用 Active Direetory 管 理 中 心 : 【 单 击 该 容器 或 组 织 单 
位 后 3 单 击 右 侧 任务 窗 格 的 新 建 2 计算 机 】。 


STEP 回 。 请 先 将 该 全 计算机 的 计算 机 名 称 设置 为 ms1、1Pv4 地 址 等 设置 为 图 2-7-1 中 所 示 。 注 意 


计算 机 名 称 设置 为 msl 即 可 ， 等 加 入 域 后 ， 其 计算 机 名 称 自动 会 被 改 为 


msl.sayms.localo 
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STEP 四 ”打开 服务 器 管理 器 纺 单 击 左 侧 本 地 服务 器 如 图 2-7-2 所 示 单 击 中 间 工 作 组 处 的 
WORKGROUP。 


IE 国 = 


靖 文件 和 存 使 服 务 


图 272 
如 果 是 Windows 10 计 算 机 的 话 : 【 单 击 下 方 的 文件 资源 管理 器 图 标 习 2 选中 此 电脑 并 
右 击 属 性 2 单 击 右 侧 的 更 改 设置 3…… ] 。 
如 果 是 Windows 8.1 计 算 机 的 话 : 【 切换 到 开始 菜单 ( 可 按 Windows 键 各 ) 3 单 击 菜单 
左下 方 辐 符 号 3 选中 图 2-7-3 的 这 人 台电 脑 并 右 击 3 单 击 下方 属 性 2…… 】 。 


图 27-3 
如 果 是 Windows 8 计算 机 的 话 : 【 按 昼 键 切换 到 开始 菜单 选 中 空白 处 并 右 击 3 单 击 所 
有 应 用 忆 选 中 计算 机 右 击 3 单 击 下 方 属性 23…… 】 。 
如 果 是 Windows Server 2008 ( R2 ) 、Windows 7 与 Windows Vista 的 话 : 【 开始 3 选中 
计算 机 并 右 击 纺 属性 3 单 击 右 下 角 的 更 改 设置 】。 
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因为 Windows Vista ( 含 ) 之 后 的 系统 默认 已 经 启用 用 户 账户 控制 ， 因 此 如 果 不 是 本 地 系 
统管 理 员 的 话 ， 则 此 时 系统 会 先 要 求 输入 本 地 系统 管理 员 的 密码 。 


STEP 回 。 单 击 图 2-7-4 中 的 疆 剖 按钮 。 


系 约 属性 芭 


计算 机 名 硬件 部 有 。 远 丁 


_ 因 widowa IT 由 中 Ri 计 机 


计划 GRID [ 
0 MIS production Server 或 "Accounting 
Semer。 

计算 和 全; ma 

If WORKGROUP 

要 时 命名 这 台 计 算 机 , 或 者 更 履 其 大 或 工作 幅 ， 清单 击 更 

所 

图 2-74 


STEP 四 选择 图 2-7-5 中 的 域 2 输入 域名 sayms.local3 单 击 咽 王 按 钮 2 输入 域内 任何 一 个 用 户 账 
户 与 密码 ( 此 账户 需要 素 属于 Domain Users 组 ， 图 中 使 用 Administmtor ) 2 单 击 疆 恒 按 钮 
(一 般 域 用 户 账户 只 有 10 次 将 计算 机 加 入 域 的 机 会 ， 但 是 域 系统 管理 员 没有 次 数 限制 ) 。 


计算 WI 生 /大 更改 弥 


计 相 机 名 [C: 
和 We 赤 
计算 机 名/ 域 更 改 

弄 二 于 5 
ee 

后 
口 ITPeeWF 
aa | 


如 果 出 现 错误 警告 的 话 ， 请 检查 TCP/IPv4 设 置 是 否 有 误 ， 尤 其 是 首选 DNS 服务 器 的 IPv4 
地 址 是 否 正 确 ， 以 本 范 合 来 说 应 该 是 192.1688.1。 
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STEP 回 ”出现 如 图 2-7-6 所 示 的 界面 表示 已 经 成 功 地 加 入 域 ( 其 计算 机 账户 会 被 建立 在 AD DS 数 
据 库 内 ) ， 请 单 击 攻 葬 接 钮 。 


图 ramomeoa 


出 现 错误 界面 的 话 ， 请 检查 所 输入 的 用 户 名 称 与 密码 是 否 正确 。 


STEP 回 。 出 现 需要 重启 计算 机 的 界面 时 单 击 壮 全 按 钮 
STEP 鞠 。 回 到 图 2-7-7 可 看 出 ， 加 入 域 后 ， 其 完整 计算 机 名 称 的 后 缀 就 会 附 上 域名 ， 如 图 中 的 
msl.sayms.local， 单 击 黑 恒 扩 钮 。 


至 光 生 性 共 


计算 Wi 名 硬 叶 次 服 。 远 丁 


_ 国 。 winrdow REg 下 由 Ri 计 莽 机 


二 WE 这 (D) [ 


HE NS Produciion Server 或 -Accounting 


STEP 回 。” 依照 界面 提示 重新 启动 计算 机 。 
STEP 回 。 请 重复 以 上 步骤 将 图 2-7-1 中 的 Windows 10 计 算 机 加 入 域 。 


2.7.2 ”利用 已 诛 入 域 的 计算 机 登录 
可 以 在 已 经 加 入 域 的 计算 机 上 ， 利 用 本 机 或 域 用 户 账户 来 登录 。 


1 利用 本 地 用 户 账户 登录 
出 现 登录 界面 时 ， 如 果 要 用 本 地 用 户 账户 登录 的 话 ， 请 在 账户 前 输入 计算 机 名 称 ， 如 图 
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2-7-8 所 示 mslvadministrator， 其 中 ms1 为 计算 机 名 称 、administrator 为 用 户 账户 名 称 ， 接 着 输入 
其 密码 就 可 以 登录 。 

此 时 系统 会 利用 本 地 安全 数据 库 来 检查 账户 与 密码 是 否 正确 ， 如 果 正 确 ， 就 能 成 功 登 
录 ， 也 可 以 访问 此 计算 机 内 的 资源 (如 果 有 权限 的 话 )， 不 过 无 法 访问 域内 其 他 计算 机 的 资 
源 ， 除 非 在 连接 其 他 计算 机 时 另外 输入 有 权限 的 用 户 名 称 与 密码 。 


2. 利用 域 用 户 账户 登录 

如 果 要 使 用 域 用 户 账户 登录 的 话 ， 请 在 账户 前 输入 域名 ， 如 图 2-7-9 所 示 的 
saymsvadministrator， 表 示 要 利用 域 sayms 内 的 账户 administrator 来 登录 ， 接 着 输入 其 密码 就 可 
以 登录 【〈 账 户 名 称 前 面 的 域名 也 可 以 是 DNS 域名 ， 例 如 sayms.local\Administrator) 。 


图 279 
用 户 账户 名 称 与 密码 会 发 送 给 域 控制 器 ， 并 利用 AD DS 数 据 库 来 检查 账户 与 密码 是 否 正 
确 ， 如 果 正 确 ， 就 可 以 成 功 全 录 ， 并 且 可 以 直接 连接 域内 任何 一 台 计算 机 与 访问 其 中 的 资源 
(如 果 被 赋予 权限 的 话 ) 再 另外 手动 输入 用 户 名 与 密码 。 


国 ss 
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2.7.3， 脱 机 加 六 域 


旧版 本 Windows 客 户 端 计算 机 要 加 入 域 的 话 ， 该 计算 机 需要 连接 网 络 ， 而 且 必须 能 够 直 
接 与 域 控 制 器 通信 ， 从 Windows 7 开始 的 客户 端 计算 机 具备 脱 机 加 入 域 的 功能 (ofnine domain 
join》， 也 就 是 让 它们 在 并 未 与 域 控制 器 连接 的 情况 下 ， 就 可 以 被 加 入 域 。 我 们 需要 通过 
djoin.exe 程 序 来 执行 脱 机 加 入 域 的 程序 。 

先 到 一 台 已 经 加 入 域 的 计算 机 上 ， 利 用 djoin.exe 来 创建 一 个 文本 文件 ， 此 文件 内 包含 即 
将 加 入 域 的 计算 机 所 需 的 所 有 信息 。 接 着 到 即将 加 入 域 的 脱 机 计算 机 上 ， 利 用 djoin.exe 来 将 
上 述 文 件 内 的 信息 导入 到 此 计算 机 内 。 

以 下 假设 域名 为 sayms.local、 一 台 已 经 加 入 域 的 成 员 服务 器 为 ms1、 即 将 脱 机 加 入 域 的 计 
算 机 为 win10pc2。 为 了 实际 练习 脱 机 加 入 域 功能 ， 请 确认 win10pc2 是 处 于 脱 机 状态 。 脱 机 将 
win10pc2 加 入 域 的 步骤 如 下 所 示 。 


STEP 税 ”到 成 员 服务 器 ms1 上 利用 域 管理 员 身 份 登录 ， 然 后 执行 以 下 的 djoin.exe 程 序 ( 参考 图 2-7- 
10 ) ， 它 会 创建 一 个 文本 文件 ， 此 文件 内 包含 脱 机 计算 机 win10pc2 所 需 的 所 有 信息 ; 


Djoin /provision /domain sayms.local /machine WiniI0pc2 /savefile 于 
Mrmi0pc2.txt 


轨 管理 员 | Windows Powershell 二 7. 忒 


图 2-7-10 
STEP 加 。 其 中 sayms.local 为 域名 、win10pc2 为 脱 机 计算 机 的 计算 机 名 称 、win10pc2.txt 为 所 创建 
的 文本 文件 ( 图 中 的 文件 win10pc2.txt 会 被 创建 在 CA\ ) 。 此 命令 默认 会 将 计算 机 账户 
win10pc2 创 建 到 Computers 容 器 内 ( 如 图 2-7-11 所 示 ) 。 


习 Active Directory 用 户 和 计算 机 2 互 X 
文 作 们 者 (FA) 查看 (V) 都 且 HH) < 
和 中 | 赴 让 | 哲 | 园 和 轴 号 | 加 加 | 马 色 习 了 旺 生 


恒 pomain Conwollers 
， 四 Foreignsecurigprincipaks 
洒 Maneqed service Accou v 


图 2-7-11 
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在 即将 加 入 域 的 脱 机 计算 机 win10pc2 上 利用 djoin.exe 来 将 上 述 文件 内 的 信息 导入 到 


份 来 执行 此 程序 ， 因 此 请 使 用 【 单 


击 左 下 角 开 始 图 标 3Windows 系 统 选 中 命令 提示 符 并 右 击 2 更 多 了 以 管理 员 身份 运 
行 】 (Windows 10 1703 版 可 使 用 【选中 左下 角 开 始 图 标 田 右 击 Windows PowerShell 
( 管理 员 ) 】) ， 然 后 执行 以 下 命令 ( 参见 图 2-7-12， 图 中 假设 我 们 已 经 将 文件 


当 win10pc2 连 上 网 络 并 且 可 以 与 域 控制 器 通信 时 ， 请 重新 启动 win10pc2， 它 便 完 成 了 


STEP 回 
win10pc2。Windows 10 计 算 机 必须 以 系统 管理 员 身 
win10pc2.txt 复 制 到 计算 机 win10pc2 的 C\ ) : 
Djoin /reaaestODI /ioadfile CxNwiin10pc2.txt /WirnidowspatH %SYstemRoat 和 
/localos: 
图 2-7-12 
STEP 四 
加 入 域 的 操作 。 
2.7.4 脱离 域 


脱离 域 的 方法 与 加 入 域 的 方法 大 同 小 异 ， 不 过 必须 是 Entemprise Admins、Domain Admins 


的 成 员 或 本 地 系统 管理 员 才 有 权限 将 此 计算 机 脱离 
域 。 还 有 因为 从 Windows 7 开始 的 计算 机 默认 已 经 启 
用 用 户 账户 控制 ， 因 此 如 果 没 有 权限 更 改 此 设置 的 
话 ， 系 统 会 先 要求 输 入 有 权限 的 账户 名 称 与 密码 。 

脱离 域 的 方法 为 《以 Windows Server 2016 为 
例 ) : 【打开 服务 器 管理 器 了 单 击 左 侧 本 地 服务 器 
单 击 右 侧 域 处 的 sayms.local2 单 击 国 国 按钮 2 选择 图 
2-7-13 中 的 工作 组 纪 输 入 适当 的 工作 组 名 称 《〈 例 如 
WORKGROUP) 2 出 现 欢迎 加 入 工作 组 界面 时 单 击 
讽 过 过 钮 2 重新 启动 计算 机 】。 

接 下 来 会 出 现 如 图 2-7-14 记 示 的 提示 界面 : 一 旦 
脱离 域 后 ， 在 这 人 台 计 算 机 上 只 能 够 利用 本 地 用 户 账 户 
来 登录 ， 无 法 再 使 用 域 用 户 账户 ， 因 此 确认 已 掌握 本 
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图 2-7-13 
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地 系统 管理 员 的 密码 后 再 单 击 国 按钮 ， 否 则 单 击 国 图 拉锯 


计算 机 名 /二 更 改 六 
从 痪 天 好 后 ， 焉 加。 单 南 - 
(DC 
图 27-14 


2.8 在 域 成 员 计算 机 内 安装 AD DS 管 理工 具 


非 域 控制 器 的 Windows Server 2016、Windows Server 2012(R2)、Windows Server 2008(R2) 
等 成 员 服务 器 与 Windows 10、Windows 8.I(8)、Windows 7 等 客户 端 计算 机 内 默认 并 没有 管理 
AD DS 的 工具 ， 例 如 Aetive Direetory 用 户 和 计算 机 、Aetive Direetory 管 理 中 心 等 ， 不 过 只 要 
另外 安装 这 些 工 具 后 ， 就 可 以 在 这 些 计算 机 上 利用 安装 的 工具 来 管理 AD DS。 


1 Windows Server 2016、Windows Server 2012(R2) 成 员 服务 器 


Windows Server 2016、Windows Server 2012(R2) 成 员 服务 器 可 以 通过 添加 角色 和 功能 的 
方式 来 拥有 AD DS 管 理工 具 : 【打开 服务 器 管理 器 单 击 仪表 板 处 的 添加 角色 和 功能 纪 持续 
单 击 呈 按钮 并 在 图 2-8-1 的 选择 功能 界面 时 色 选 远程 服务 器 管理 工具 之 下 的 AD DS 和 AD 
LDS 工 具 】， 安 装 完成 后 可 以 到 开始 菜单 的 Windows 管理 工具 〈 系 统管 理工 具 ) 来 执行 这 些 
工具 。 


[0 一 - 瑟 民 
、 ee 
选择 功能 re] 
天 站 之 前 和 > 和 四 上 的 一 公仆- 
安生 类型 咕 了 
可 避让 全 可。 Acive pieaon seaSAD pg 和 
癌 和 Windows 天 AR 珊 训 休 痊 Eve 0 
最 务 并 角色 口 运 呈 亚信 要 生生 人 8 
[ES 本 
~ | + 口 3 大理 T 质 
榴 认 2 
加 CEEEEEEOIESEE 
| + 门 wyperv 匠 开放 | 
上 口 windowa Server Updale Serjices 贡 
图 2-8-1 


2. Windows Server 2008 R2、Windows Server 2008 成 员 服务 器 
Windows Server 2008 R2、Windows Server 2008 成 员 服 务 器 可 以 通过 添加 功能 的 方式 来 拥 
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有 AD DS 管 理工 具 ; 【打开 服务 器 管理 器 3 单 击 功能 右 侧 的 添加 功能 2 色 选 图 2-8-2 中 远程 服 
务 器 管理 工具 之 下 的 AD DS 和 AD LDS 工 具 】， 安 装 完成 后 可 以 到 系统 管理 工具 中 执行 这 些 
工具 。 


3.， Windows 10、Windows 8.1、Windows 8 


Windows 10 计 算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 10(Windows 10 的 远程 服务 器 管理 工具 )， 安 装 完成 后 可 通过 【 单 击 左下 角 开 始 图 标 
2Windows 管 理工 具 】 来 选用 Active Directory 管 理 中 心 与 Aetive Direetory 用 户 和 计算 机 等 工 
具 。 

Windows 8.1 计 算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 8.1 (Windows 8.1 的 远程 服务 器 管理 工具 ) ， 安 装 完 成 后 可 通过 【 按 Windows 键 型 
切换 到 开始 菜单 2 单 击 菜单 左下 方 圈 图 标 3 管 理工 具 】 来 选用 Acetive Directory 管 理 中 心 与 
Acetive Directory 用 户 和 计算 机 等 工具 。 

Windows 8 计算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 8 〈〔Windows 8 的 远程 服务 器 管理 工具 ) ， 安 装 完成 后 可 通过 【 按 Windows 键 习 切 换 
到 开始 菜单 管理 工具 】 来 选用 这 些 工具 。 


4，Windows7 


Windows 7 计算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 7 with SP1〈Windows 7 SPI 的 远程 服务 器 管理 工具 ) ， 安 装 完成 之 后 选用 【开始 2 
控制 面板 3 单 击 最 下 方 的 程序 3 单 击 最 上 方 的 打开 或 关闭 Windows 功 能 匀 选 图 2-8-3 中 远程 
服务 器 管理 工具 之 下 的 Aetive Direetory 管 理 中 心 】。 完 成 之 后 ， 就 可 以 在 【开始 人 系统 管理 
工具 本 中 来 选用 Active Direetory 管 理 中 心 与 Active Direetory 用 户 和 计算 机 等 工具 。 


国 sao 
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六 门 全 Acive Diecory 让 HS 工具 
三 脸 站 AD ps 和 AD !Ds 工 


现 圭 AD D5 时 理 章 元 和 坟 今 行 T 岂 
了 让 用 于 NI5 工具 的 本 务 呈 
斋 AD 1D5 本 到 单元 和 语 4 行 区 
李 才 用 于 Windows powershel 的 Active Direcony 
站 认 phCP 本 可 机 


2.9 ”删除 域 控制 器 与 域 


可 以 通过 降级 的 方式 来 删除 域 控制 器 ， 也 就 是 将 AD DS 从 域 控 制 器 中 删除 。 在 降级 前 请 
先 注意 以 下 事项 : 


包 如 果 域 内 还 有 其 他 域 控制 器 存在 ， 会 被 降级 为 该 域 的 成 员 服 务 器 ， 例 如 将 图 2-9-1 中 
的 dc2.sayms.local 降 级 时 ， 由 于 还 有 另外 一 台 域 控制 器 dcl.sayms.local 存 在 ， 因 此 
dc2.sayms.local 会 被 降级 为 域 sayms.local 的 成 员 服务 器 。 必 须 是 Domain Admins 或 
Enterprise Admins 组 的 成 员 才 有 权限 删除 域 控制 器 。 


第 1 台 域 控制 器 及 第 2 台 域 控制 器 

DNS 服务 器 展 dc2.saymslocal 
dc1.saymslocal 1P:192.168.8.2/24 
IP:192.168.8.1/24 革 DNS:192.168.8.1 
DNS:192.168.81 NS 


加 入 域 的 Windows 10 
成 员 服 务 器 win10pcl.saymslocal 
msl.sayms.local TP:192.168.8.5/24 
TIP:192.168.8.4/24 攻 DNS:192.168.8.1 
DNS:192.168.8.1E 


图 29.1 


浊 如 果 这 台 域 控制 器 是 此 域内 的 最 后 一 台 域 控制 器 ， 例 如 假设 图 2-9-1 中 的 
dc2.sayms.local 已 被 降级 ， 此 时 再 将 dcl.sayms.local 降 级 的 话 ， 则 域内 将 不 会 再 有 其 


6 图 
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他 域 控 制 器 存在 ， 因 此 域 会 被 删除 ， 而 dcl.sayms.local 也 会 被 降级 为 独立 服务 器 。 
必须 是 Enterprise Admins 组 的 成 员 ， 才 有 权限 删除 域内 的 最 后 一 台 域 控制 器 (也 就 是 
删除 域 ) 。 如 果 此 域 之 下 还 有 子 域 的 话 ， 请 先 删除 该 子 域 。 


ED 


建议 先 将 成 员 服务 器 dc2.sayms.local 脱 离 域 ， 因 为 域 删除 后 ， 在 这 人 台 dc2.sayms.local 计 算 
机 上 利用 域 账户 就 无 法 登录 了 。 


外 如 果 此 域 控制 器 是 全 局 编 录 服务 器 的 话 ， 请 检查 其 所 属 站 点 (site ) 内 是 否 还 有 其 他 
全 局 编 录 服务 器 ， 如 果 没 有 的 话 ， 请 先 分 配 另 外 一 台 域 控制 器 来 扮演 全 局 编 录 服务 
器 ， 否 则 将 影响 用 户 登 录 ， 分 配 的 方法 为 : 【 单 击 左下 角 开 始 图 标 田 3Windows 管 
理工 具 纺 Active Direetory 站 点 和 服务 2Sites23Default-First-Site-Name2Servers 选 
择 服务 器 纪 和 中 NTDS Settings 并 右 击 纺 属性 马 为 选 全 局 编 录 】。 

匀 如 果 所 删除 的 域 控制 器 是 林内 最 后 一 台 域 控制 器 的 话 ， 则 林 会 一 并 被 删除 。 
Entermprise Admins 组 的 成 员 才 有 权限 删除 这 台 域 控制 器 与 林 。 


移 除 域 控 制 器 的 步骤 如 下 所 示 : 
STEP 翻 。 单 击 左下 角 开 始 图 标 田 服 务 器 管理 器 2 单 击 图 2-9-2 中 管理 菜单 下 的 删除 角色 和 功能 。 


| 本 加 学 到 要 | 


到 xiuEaas | 和。 2 证 加 角色 fo 允 
图 292 
STEP 回 二 多 站 二 国 和 t， 在 出 现 如 图 2-9-3 所 示 的 界面 时 ， 取 消 勾 选 Aetive Direetory 域 
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STEP 贺 。 出 现 如 图 2-9-4 所 示 的 界面 时 ， 单 击 将 此 域 控 制 器 降级 。 


图 294 


如 果 当 前 用 户 有 权限 删除 此 域 控制 器 的 话 ， 请 在 图 2-9-5 中 直接 羊 击 请 撤 钮 ， 否 岂 
单 击 夺 国 护 钮 来 输入 另 一 个 账户 与 密码 。 


如 果 因 故 无 法 删除 此 域 控制 器 的 话 { 例如 在 移 除 域 控制 器 时 ， 顺 要 连接 到 其 他 域 控制 
器 ， 但 却 无 法 连接 ) ， 此 时 可 义 选 图 中 的 强制 删除 此 域 控制 器 。 


STEP 


本 Actve Directory 域 卫 务 配 吾 向 导 三 ”| 本 过 
目标 县 务 雪 
凭据 pcz aymaleeal 
se 和 
SAYMSWdministrator (当前 用户 ) [Rao- | 
可 委 寺 大 aa 
图 295 
如 果 是 最 后 1 台 域 控制 器 ， 请 勾 选 图 2-9-6 中 域 中 的 最 后 一 个 域 控制 器 。 
配 Active Directory 城 服 务 矶 看 内 导 2 口 X 
目标 时 务 吕 
凭据 DC1saymsiocal 
3 2 
= SAYMSwdministrator [前 用 户 } 
口 瑟 抽 和 此 寺 注 二 器 人 
新 得 理 员 客 吧 四 迫 授 作 将 导 到 此 城 近 制 三 上 的 所 有 Active Directory 域 服务 更 改天 
查看 选 顶 失 ， 如 果 仍 要 纸 塘 , 请 确认 这 是 城中 的 最 后 一 个 十 时 
贱 城中 的 最 后 一 个 疆 皖 制 圳 ( 


图 2946 
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STEP 回 在 图 2-9-7 中 勾 选 继续 删除 后 单 击 庆生 提 尽 钮 。 


起 Acive Diredtony 战 本 多 本 下 内 导 1 
目标 最 务 吕 
警告 bca saymstecal 
赁 租 二 近 制 愤 当前 扮演 以 下 角色 : 
* 城 名 系统 [DNS) 服 务 吴 
所 各 理 员 室 码 本 
坦 看 选项 款 Active Directory 域 服务 功能 专 要 使用 域 拉 再 要 孙 革 的 角色 。 如 果 纵 纺 , 其 些 Active 
(Ge 
图 297 


际 
扯 


STEP 回 。 如 果 出 现 如 图 2-9-8 所 示 界 面 的 话 ， 可 选择 是 否 要 删除 DNS 区 域 与 应 用 程序 分 区 ， 


直到 sa， 


瑟 Active Directony 域 配 务 本 午 向 导 Re 已 X 
删除 选项 char 
从 捞 园 有 St DNS 区 二 0 是 未 吉 访 区 城 的 量 后 一 个 DNS 和 加 MM) 
汪 半 著 亲 直 用 村 序 分 区 (R) ET 
新 于 理 只 宇 码 
坦 春 选项 


图 298 


RODC: 会 有 保留 域 控制 器 元 数据 选项 供 选择 ， 此 时 可 直接 单 击 请 浊 扩 钮 即 可 


STEP 园 。 在 图 2-9-9 中 为 这 人 台 即 将 被 降级 为 独立 或 成 员 服务 器 的 计算 机 ， 设 置 其 本 地 
Administmator 的 新 密码 ( 需要 符合 密码 复杂 性 要 求 ) 后 单 击 证 尽 钮 。 


配 Active Directory 域 酸 务 配 置 向 导 十 口 愉 
新 管理 员 密码 czaaymstleaal 
鞠 拒 吉 RDh: 一 一 | 
芭 告 确认 谈 码 (C)- 
查看 选 


图 299 


STEP 回 。 在 查看 选项 界面 中 单 击 配 员 技 钮 。 


国 s 
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STEP 轿 。 完成 后 会 自动 重新 启动 计算 机 ， 再 重新 登录 。 


IEED 


虽然 这 全 服务 器 已 经 不 再 是 域 控制 器 了 ， 不 过 此 时 其 Aetive Directory 域 服务 组 件 仍然 存 
在 ， 并 没有 被 删除 ， 因 此 如 果 现在 要 再 重新 将 其 升级 为 域 控制 器 的 话 ， 可 以 参考 前 面 的 
说 明 。 


STEP E 加 在 服务 器 管理 器 中 选择 管理 茉 单 下 的 删除 角色 和 功能 。 
STEP 加 持续 单 击 旋 和 击 扶 钮 ， 直 到 出 现 如 图 2-9-10 所 示 的 界 而 时， 取消 久 选 Aetive Directory 


域 服务 ， 单 击 出 辽 声 介 扶 钮 。 
天 ii 角色 imNE 广 与 | 
别 除 服务 器 角色 了 
有 站 2 曾 
天 务 关 寺 二 过 
CA 过 Directory 联合 自从 让 卫 务 二 安 生 ) 站 
REEsa mm 
nn 
冯 卜 二 二 


图 29-10 
STEP 攻 四 。 回 到 删除 服务 器 角色 界面 时 ， 确 认 Active Directory 域 服务 已 经 被 取消 义 选 { 也 可 以 一 
并 取消 勾 选 DNS 服务 器 ) 后 单 击 请 四 抽 信 钮 。 
STEP 轿 。 出现 删 除 功能 界面 时 ， 单 击 试 间 以 钮 
STEP (四 。 在 确认 删除 选项 界面 中 单 击 昼 珊 技 钮 
STEP 加 完成 后 ， 重 新 启动 计算 机 。 
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域 系 统管 理 员 需要 为 每 一 个 域 用 户 分 别 创建 一 个 用 户 账户 ， 让 他 们 可 以 利用 这 个 账户 登 
录 域 、 访 问 网 络 上 的 资源 。 域 系统 管理 员 同时 也 需要 了 解 如 何 有 效 利 用 组 ， 以 便 高 效 地 管理 
资源 的 访问 。 

浊 管理 域 用 户 账户 

一 次 同时 新 建 多 个 用 户 账户 

站 域 组 账户 

沁 组 的 使 用 原则 
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3.1 ”管理 域 用 户 账户 


域 系统 管理 员 可 以 利用 Acetive Directory 管 理 中心 或 Active Direetory 用 户 和 计算 机 控制 台 
来 建立 与 管理 域 用 户 账户 。 当 用 户 利用 域 用 户 账 户 登录 域 后 ， 便 可 以 直接 连接 域内 的 所 有 成 
员 计 算 机 、 访 问 有 权限 访问 的 资源 。 换 句 话说 ， 域 用 户 在 一 台 域 成 员 计算 机 上 登录 成 功 后 ， 
当 他 要 连接 域内 的 其 他 成 员 计算 机 时 ， 并 不 需要 再 手动 输入 用 户 名 与 密码 进行 登录 ， 这 个 功 
能 被 称 为 单 点 登录 。 


ED 


本 地 用 户 账户 并 不 具备 单 点 登录 的 功能 ， 也 就 是 说 利用 本 地 用 户 账户 登录 后 ， 当 要 再 连 | 
接 其 他 计算 机 时 ， 需 要 再 手动 给 入 用户 名 与 密码 寺 生 登录。 


在 服务 器 还 没有 升级 成 为 域 控 制 器 之 前 ， 原 本 位 于 其 本 地 安全 数据 库 内 的 本 地 用 户 账 
户 ， 会 在 升级 成 域 控制 器 后 被 异动 到 AD DS 数 据 库 内 ， 并 且 是 被 存储 到 Users 容 器 内 的 ， 可 以 
通过 Active Directory 管 理 中 心 来 查看 ， 如 图 3-1-1 中 所 示 《〈 可 先 单 击 上 方 的 树 视图 图 标 ) ， 同 
时 这 侣 服务 器 的 计算 机 账户 会 被 存储 到 图 中 的 组 织 单位 Domain Controllers 内 。 其 他 加 入 域 的 
计算 机 账户 默认 会 被 存储 到 图 中 的 Computers 容 器 内 。 


[3 ER 
苷 Active pyedor -< Users 09) 4 
电 
7 zx 
[ 
er WE 
5 
2 
下 
= 
am 
om 四 
好 ， 
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1 
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图 31-1 
也 可 以 通过 Aetive Direetory 用 户 和 计算 机 来 查看 ， 如 图 3-1-2 所 示 。 
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下 Acive piredory 用 户 和 计算 机 = 站 起 
文 作 (经 fEIA) 查看。 帮助 (H) 
和 中 | 身 国 | 攻 自 | 其 同 画 卫 | 目 加 | 久久 司 了 昌 久 


Y 和 samymslocal “| 名称 和 生 述 莹 
> 国 buikin 中 Key Admins 去 全 组 - 全 局 贱 引 的 成 员 可 以 关 
y 大 Campeas 下 protecded Users 安全 组 - 全 局 此 组 的 成 员 格 受 生 
国 Donai Comaolers 中 RAs and As Servers 。。 去 全 组 - 本 地域。 这 个 组 中 的 卢 务 中 
> 国 Foregnsecuriyprincipsk 国 | 电 Read-ony Domain Con -去 S 组 - 全 局 此 组 中 的 成 员 是 起 
》 国 Maneged Service Accou 呈 schema Admins _ 通 用 
Ba 1 
相 v 
四 | ee > 


图 312 


只 有 在 建立 域内 的 第 1 台 域 控制 器 时 ， 该 服务 器 原来 的 本 地 账户 才 会 被 转移 到 AD DS 数 据 
库 ， 其 他 域 控制 器 原 有 的 本 地 账户 并 不 会 被 转移 到 AD DS 数 据 库 ， 而 是 被 删除 。 


3 浊 4 创建 组 织 单位 与 域 用 户 账户 


可 以 将 用 户 账 户 创建 到 任何 一 个 容器 或 组 织 单位 内 。 以 下 假设 要 先 建立 名 称 为 业务 部 的 
组 织 单位 ， 然 后 在 其 内 创建 域 用 户 账户 mary。 

创建 组 织 单位 业务 部 的 方法 为 : 【 单 击 左下 角 开 始 图 标 因 3Windows 管理 工具 2Active 
Direetory 管 理 中 心 〈 或 Aetive Direetory 用 户 和 计算 机 ) 驴 选 中 域名 并 右 击 新 建 2 组 织 单位 
2 如 图 3-1-3 所 示 答 入 组 织 单位 名 称 业务 部 2 单 击 茵 嗣 接 钮 】。 


宇 口 共 

创建 组 织 单位 : 业务 部 硬 | 节 了 
组 织 单位 (O) 组 织 单位 加 区 人 卜 
管理 者 (6) 

名 称 : 创建 位 于 DC=saymsDC=local 

二 

[1 

运 太 而 之 .| 古本 本 末 

| 攻 让 吉 人 地 
iu 世 要 本 己 酸 本 


图 中 默认 已 经 勾 选 防止 意外 删除 ， 因 此 无 法 直接 将 此 组 织 单位 删除 ， 除 非 取消 色 选 此 先 
| 项。 如 果 是 使 用 Aetive Direetory 用 户 和 计算 机 的 话 : 【选择 查看 菜单 3 高 级 功能 3 对 着 
此 组 织 单位 并 右 击 属 性 3 如 图 3-1-4 所 示 取消 色 选 对 象 选项 卡 之 下 的 防止 对 象 被 意外 册 
除 ] 。 
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部 恒 性 记号 


图 31 二 
在 组 织 单位 业务 部 内 建立 用 户 账户 mary 的 方法 为 : 【选中 组 织 单位 业务 部 并 右 击 3 新 建 
2 用 户 】. 注意 域 用 户 的 密码 默认 需 至 少 7 个 字符 ， 且 不 能 包含 用 户 账 户 名 称 〈 指 用 户 
SamAccountName) 或 全 名 〈 后 述 ) ， 还 有 至 少 要 包含 A~Z、a~z、0-9、 非 字母 数字 【〔 例 
如 !、8$、#、%%) 等 4 组 字符 中 的 3 组 ， 例 如 123saymsSAYMS 是 有 效 的 密码 ， 而 1234567 是 无 效 
的 密码 。 如 果 要 更 改 此 默认 值 的 话 ， 请 参考 第 4 章 的 说 明 。 


3.1.2 ”用 户 登录 账户， 


域 用 户 可 以 到 域 成 员 计 算 机 上 〈 域 控制 器 除外 ) 利用 两 种 账户 名 称 来 登录 域 ， 它 们 分 别 
是 图 3-1-5 中 的 用 户 UPN 登 录 与 用 户 SamAccountName 登 录 。 普 通 的 域 用 户 默认 是 无 法 在 域 控 
制 器 上 登录 的 《可 参考 第 4 章 进行 设置 ) 。 


创建 用 户 : 陈 玛 帮 
ww 
和 RD) 
由 
5 
xm 


3-1-5 


站 用 户 UPN 登 录 : UPN (User Principal Name ) 的 格式 与 电子 邮件 账户 相同 ， 如 前 面 图 
3-1-5 中 的 maryG@sayms.local， 这 个 名 称 只 能 在 隶属 于 域 的 计算 机 上 登录 域 时 使 用 
(如 图 3-1-6 所 示 ) 。 整 个 林内 ， 这 个 名 称 必 须 是 唯一 的 。 


ee 力 
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图 3146 
UPN 并 不 会 随 着 账户 被 移动 到 其 他 域 而 改变 ， 举 例 来 说 ， 用 户 mary 的 用 户 账 户 位 于 
域 sayms ,local 内， 其 默认 的 UPN 为 mary@sayms.local， 之 后 即使 此 账户 被 移动 到 林 中 
的 另 一 个 域内 ， 例 如 域 sayiis.local， 其 UPN 仍 然 是 maryG@sayms.local， 并 没有 被 改 
变 ， 因 此 mary 仍 然 可 以 继续 使 用 原来 的 UPN 登 录 。 

匀 用 户 SamAccountName 登 录 : 如 前 面 图 3-1-5 中 的 sayms\mary， 这 是 旧 格 式 的 登录 账 
户 。Windows 2000 之 前 版 本 的 旧 客 户 端 需要 使 用 这 种 格式 的 名 称 来 登录 域 。 在 隶属 
于 域 的 Windows 2000 ( 含 ) 之 后 的 计算 机 上 也 可 以 采用 这 种 名 称 来 登录 ， 如 图 3-1-7 
所 示 。 同 一 个 域内 ， 这 个 名 称 必 须 是 唯一 的 。 


图 3-1-7 


在 Active Directory 用 户 和 计算 机 控制 台 内 ， 上 述 用 户 UPN 登 录 与 用 户 SamAccountName 
登录 分 别 被 称 为 用 户 登 录 名 与 用 户 登录 名 ( Windows 2000 以 前 版 本 ) 。 


3.1.3， 创 建 UPN 后 级 


用 户 账户 的 UPN 后 绥 默 认 是 账户 所 在 域 的 域名 ， 例 如 用 户 账户 是 被 建立 在 域 saymsJlocal 内 ， 


国 " 
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则 其 UPN 后 缀 为 saymsJocal。 在 某 些 情况 之 下 ， 用 户 可 能 希望 能 够 改 用 其 他 替代 后 级 ， 例 如 : 


因为 UPN 的 格式 与 电子 邮件 账户 相同 ， 因 此 用 户 可 能 希望 其 UPN 可 以 与 电子 邮件 账 
户 相同 ， 以 便 让 其 不 论 是 登录 域 或 收发 电子 邮件 ， 都 可 使 用 同一 个 名 称 。 

让 如 果 域 树 状 目录 内 有 多 层 的 子 域 ， 则 域名 会 太 长 ， 例 如 sales.tw.sayms.local， 如 此 
UPN 后 组 也 会 太 长 ， 这 将 造成 用 户 在 登录 时 的 不 便 。 


可 以 通过 添加 UPN 后 组 的 方式 让 用 户 拥有 替代 后 缀 ， 如 下 所 示 : 


STEP 秋 。” 单 击 左下 角 开 始 图 标 田 23Windows 管理 工具 QAcetive Directory 域 和 信任 关系 纺 如 图 3- 
1-8 所 示 单 击 Aetive Direetory 域 和 信任 后 单 击 上 方 的 属性 图 标 。 
汪 Acive Directory 志和 合作 关系 = 过 
人生 
如 中 | 隔 ( 瑟 三 章 二 


全 二 1 
国 :mmsiecl 人 domainDNS 
图 318 


STEP 回 在 图 3-1-9 中 输入 蔡 代 的 UPN 后 级 后 单 击 颖 测 技 钮 并 单 击 鳃 而 技 钮 。 后 级 不 一 定 需要 
DNS 格式 ， 例 如 可 以 是 sayiis.local， 也 可 以 是 sayiis。 


Aave pireaor aEEE 素 1 DCTaaymeioaal ] 禾 必 于 
UPN RE 


光芒 寺 和 相 类 后 称 时 占用 户主 企 名 几 人 Up 后 委 、 湛 吉 枯 他 圳 提供 了 胃 
从 的 量 邓 安全 人 开交 了 用 广 本 全. 
ER， 亲人 Lp 天， 


1 二 


(Ca 
一 


图 3-1-9 


完成 后 ， 就 可 以 通过 Aetive Direetory 管 理 中心 (或 Active Direetory 用 户 和 计算 机 ) 控制 
台 来 更 改 用 户 的 UPN 后 缀 ， 如 图 3-1-10 所 示 。 


二 五 又 
陈 玛 莉 喇 - 习 熙 = 
pm。 朵 户 有色 到 
于 了 和 Er 二 人 下 
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3.14 ”账户 的 常规 管理 工作 


本 节 将 介绍 用 户 账 户 的 常规 管理 工作 ， 例 如 重 置 密码 、 禁 用 《〈 启 用》 账户、 移动 账户 、 


删除 账户 、 更 改 登录 名 称 与 解除 锁定 等 。 可 以 如 图 3-1-11 所 示 单 击 待 管理 的 用 户 账户 〈 例 如 
图 中 的 陈 玛 莉 ) ， 然 后 通过 右 侧 的 选项 来 设置 。 


[7 一 :区 入 


图 3-1-11 


半 重 杆 密码 : 当 用户 忘 记 密 码 或 密码 使 用 期 限 到 期 时 ， 系 统管 理 员 可 以 利用 此 处 为 用 


户 设置 一 个 新 的 密码 。 


浊 禁用 (或 启用 ) ; 如 果 某 位 员工 因 故 在 一 段 时 间 内 无 法 来 上 班 的 话 ， 可 以 先 将 该 用 


户 的 账户 禁用 ,等 该 员工 回来 上 班 后 ， 再 将 其 重新 启用 即 可 。 如 果 用 户 账 户 已 被 森 用 ， 
则 该 用 户 账户 图 标 上 会 有 一 个 向 下 的 区 头 符号 ( 例如 图 3-1-11 中 的 用 户 账号 李 小 洋 ) 。 


沁 移动 : 可 以 将 账户 移动 到 同一 个 域内 的 其 他 组 织 单位 或 容器 。 
沁 重 命名 : 重 命名 以 后 (可 通过 【选中 用 户 账户 并 右 击 写 属性 】 的 方法 ) ， 该 用 户 原 


来 所 拥有 的 权限 与 组 关系 都 不 会 受到 影响 。 例 如 当 某 员工 离职 时 ， 可 以 暂时 先 将 其 
用 户 账户 禁用 ， 等 到 新 员工 来 接替 他 的 工作 时 ， 再 将 此 账户 名 称 改 为 新 员工 的 名 
称 、 重 新 设置 密码 、 更 改 账户 登录 名 称 、 修 改 其 他 相关 个 人 信息 ， 然 后 重新 启用 此 
账户 。 

完成 用 户 账户 新 建 之 后 ， 系 统 会 为 其 建立 一 个 唯一 的 安全 标识 符 (securiry 
identifier，SID ) ， 而 系统 是 利用 这 个 SID 来 代表 该 用 户 ， 同 时 权限 设置 等 都 是 通过 
SID 来 记录 的 ， 并 不 是 通过 用 户 名 ， 例 如 某 个 文件 的 权限 列表 内 ， 它 会 记录 着 哪些 
SID 具 备 着 哪些 权限 ， 而 不 是 哪些 用 户 名 拥有 哪些 权限 。 

由 于 用 户 账户 名 或 登录 名 更 改 后 ， 其 SID 并 没有 被 改变 ， 因 此 用 户 的 权限 与 组 关系 
都 不 变 。 

可 以 通过 双击 用 户 账户 或 右 侧 的 属性 来 更 改 用 户 账户 名 与 登录 名 等 相关 设置 。 


沁 删除 账户 : 如 果 这 个 账户 以 后 再 也 用 不 到 的 话 ， 就 可 以 将 此 账户 删除 。 将 账户 删除 


后 ， 即 使 再 新 建 一 个 相同 名 称 的 用 户 账户 ， 这 个 新 账户 并 不 会 继承 原 账户 的 权限 与 
组 关系 ， 因 为 系统 会 给 予 这 个 新 账户 一 个 新 的 SID， 而 系统 是 利用 SID 来 记录 用 户 的 
权限 与 组 关系 ， 不 是 利用 账户 名 称 。 因 此 对 系统 来 说 ， 这 是 两 个 不 同 的 账户 ， 当 然 


就 不 会 继承 原 账户 的 权限 与 组 关系 。 
匀 解锁 账户 : 我 们 可 以 通过 账户 策略 来 设置 用 户 输 入 密码 失败 多 次 后 ， 就 将 此 账户 锁 
定 ， 而 系统 管理 员 可 以 利用 以 下 方法 来 解锁 
解锁 账户 (账户 被 锁定 后 才 会 有 此 选项 ) 】。. 
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【双击 该 用 户 账户 纺 单 击 图 3-1-12 中 的 
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故 品 人 中国 本 了 导 态 口 R 日 朋 
ER 
Rupveg& mey 03 ma 
拓 中 用 产 SamAcco_， ma 嫂 my 二 项 四 
拉 家 轴 2s 
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图 31-12 
3.1.5， 域 用 户 账户 的 属性 设置 


了 从 过 Sa 这 


每 一 个 域 用 户 账户 内 都 有 一 些 相 关 的 属性 信息 ， 例 如 地 址 、 电 话 与 电子 邮件 地 址 等 ， 域 


3 


户 可 以 通过 这 些 属 性 信息 来 查找 AD DS 数 据 库 内 的 用 户 ， 例 如 通过 电话 号 码 来 查找 用 户 
此 为 了 更 容易 找到 所 需要 的 用 户 账户 ， 这 些 属性 信息 应 该 越 完 整 越 好 。 我 们 将 通过 Aetive 


Directory 管 理 中心 来 介绍 用 户 账户 的 部 分 属性 ， 请 先 双 击 要 设置 的 用 户 账户 ， 


1. 


组 织 信息 的 设置 


组 织 信息 就 是 指 显示 名 称 、 职 务 、 部 门 、 地 址 、 电 话 、 电 子 邮件 、 主 页 等 ， 如 图 3-1-13 


中 组 织 


区 域 所 示 ， 这 部 分 的 内 容 都 很 简单 ， 请 自行 浏览 这 些 字段 。 
陈 玛 和 匿 - 避 臣 了 了 
想 记 AI 组 织 个 丽 罗 
SRIO | 25s 
局 Rn DG 上 中 
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图 3-1L13 
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2. 账户 过 期 的 设置 


我 们 可 以 如 图 3-1-14 所 示 通 过 账户 区 域内 的 账户 过 期 来 设置 账户 的 有 效 期 限 ， 默 认为 从 
不 过 期 。 如 果 要 设置 过 期 时 间 的 话 ， 选 择 结束 日 期 ， 然 后 输入 格式 为 yyyy/myd 的 过 期 日 期 。 


三 -共和 天 
陈 玛 莉 厂 - 相 熙 了 
HPAI 帐户 SG 二 
二 | | 二 Re ra (人 司 j 不 
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密码 设置 姓氏 : 

于 国 用 户 下 8 天 训 本 四 
配 守 文件 P) 。 用 记 UPN 雪 灶 may 有 [RE 
所 时 用 六 semAcco- cm 诡 ma 口 交互 式 各 肥 时 要 要 Microsoft passport- 
Ha 导 mara xn 曙 
PP 


3. 登录 时 间 的 设置 


登录 时 间 用 来 指定 用 户 可 以 登录 到 域 的 时 段 ， 默 认 是 任何 时 段 都 可 以 登录 域 。 如 果 要 更 
改 设置 的 话 ， 请 单 击 图 3-1-15 中 的 登录 小 时 …， 然 后 通过 前 景 图 来 设置 。 图 中 横 轴 每 一 方块 
代表 一 个 小 时 ， 纵 轴 每 一 方块 代表 一 天 ， 填 满 方块 与 室 白 方块 分 别 代表 允许 与 不 允许 登录 的 
时 段 ， 默 认 是 开放 所 有 的 时 段 。 选 好 时 段 后 选择 允许 登录 或 拒绝 登录 来 允许 或 拒绝 用 户 在 上 
述 时 段 登录 。 


订 豆 避 
池 4 ] 


]s=” 
口 和 ER 生 素 fD) 


图 3-1-15 
4 限制 用 户 只 能 够 通过 某 些 计算 机 登录 


普通 的 域 用 户 默 认可 以 利用 任何 一 台 域 成 员 计算 机 《〈 域 控制 器 除外 ) 来 登录 域 ， 不 过 我 
们 也 可 以 通过 以 下 方法 来 限制 用 户 只 可 以 利用 某 些 特定 计算 机 来 登录 域 : 【 单 击 图 3-1-16 中 


国 7 
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的 登录 到 … 亿 在 前 景 图 中 选择 下 列 计算 机 马 输 入 计算 机 名 称 后 单 击 考 测 按 钮 】， 计 算 机 名 称 
可 为 NetBIOS 名 称 〈 例 如 win10pc1) 或 DNS 名 称 〈 例 如 win10pcl.sayms.local) 。 


= DX 
陈 玛 利 匠 相 
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图 3-1-16 


3.1.6 ”搜索 用 户 账户 


AD DS 将 用 户 账户 、 组 账户 、 计 算 机 上 账户、 打印机、 共享 文件 夹 等 对 象 存储 在 AD DS 数 
据 库 内 ， 域 系统 管理 员 可 以 方便 地 在 AD DS 数 据 库 中 搜索 与 管理 所 需 的 用 户 账 户 。 

如 果 要 在 某 个 组 织 单位 〈 或 容器 ) 内 来 搜索 用 户 账户 的 话 ， 只 要 如 图 3-1-17 所 示 【 单 击 
组 织 单位 写 在 中 间 窗 口上 方 输入 要 搜索 的 用 户 账户 名 称 即 可 】， 搜 索 到 的 用 户 账户 会 被 显示 
在 中 间 窗 口 的 下 方 。 如 果 要 搜索 的 对 象 要 包含 此 组 织 单位 之 下 的 组 织 单位 的 话 ， 请 单 击 右 方 
任务 窗口 中 的 在 该 节点 下 搜索 。 
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| Windows PowerShell 历史 记录 


图 3-1-18 


也 可 以 通过 全 局 编 录 服务 器 来 搜索 位 于 其 他 域内 的 对 象 ， 不 过 需 先 将 搜索 范围 更 改 为 全 
局 编 录 搜索 ， 如 图 3-1-19 所 示 。 


[eemronamlmaam 
图 3-1-19 
也 可 以 通过 图 3-1-20 中 的 概述 界面 来 涩 行 全 局 搜索 工作 。 


| 日 Aaive preaon ma 


| Windows PowerShall 历史 记录 


还 可 以 进一步 通过 指定 的 条 件 来 搜索 用 户 账户 ， 例 如 要 搜索 业务 部 内 电话 号 码 是 空白 的 
所 有 用 户 账户 的 话 ， 则 请 如 图 3-1-21 所 示 【 单 击 组 织 单位 业务 部 中 的 添加 标准 〈 如 果 未 出 现 
添加 标准 选项 的 话 ， 先 单 击 右上 方 的 箭头 符号 ” ) 3 色 选 类 型 3 单 击 吴 王 扶 钮 2 如 图 3-1-22 
所 示 在 类 型 处 选择 等 于 ， 然 后 输入 用 户 】。 


国 
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图 3-1221 


| 刁 kaive preaoy gr 


末 向 这 zx 时 


图 3-122 


接着 如 图 3-1-23 所 示 【 单 击 添加 标准 纺 勾 选 电话 号 码 3 单 击 呈 亚 护 钮 2 在 图 3-1-24 中 的 电 
话 号 码 劳 选择 为 室 】， 系 统 便 会 显示 业务 部 内 电话 号 码 属性 值 是 空白 的 所 有 用 户 账户 。 
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图 31-23 


可 以 将 所 定义 的 查询 〈 搜 索 ) 条 件 保存 起 来 ， 也 就 是 单 击 图 3-1-25 中 的 保存 图 标 ， 然 后 
为 此 查询 命名 ， 之 后 可 以 如 图 3-1-26 所 示 通 过 此 查询 内 所 定义 的 条 件 来 搜索 。 
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图 3-1-26 
如 果 要 在 没有 安装 Active Direetory 管 理 中 心 的 成 员 服 务 器 或 其 他 成 员 计算 机 上 查找 AD 
DS 对 和 象 的 话 ， 以 Windows 10 计 算 机 为 例 ， 可 以 通过 【打开 文件 资源 管理 器 〈 可 按 导 + 圆 键 2 
文件 资源 管理 器 ) 驴 单 击 左下 方 的 网 络 人 如 图 3-1-27 所 示 单 击 上 方 网 络 下 的 搜索 Acetive 
Direetory】 的 方法 〈 可 能 需要 先 启 用 网 络 发 现 ) 。 


国 
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1 个 天目 革 : 囊 


图 31-27 
接着 如 图 3-1-28 所 示 在 查找 处 选择 用 户 ， 联 系 人 及 组 、 在 范围 处 选择 整个 目录 〈 也 就 是 
全 局 编 录 ) 或 域名 、 在 名 称 处 输入 要 查找 的 名 称 后 单 击 于; 葡 栓 现 技 乌 ， 然后 就 可 以 从 最 下 面 
的 搜索 结果 来 查看 与 管理 所 查找 到 的 账户 。 


图 3128 

若 要 进一步 通过 特定 条 件 来 查找 用 户 账户 的 话 ， 例 如 如 果 要 查找 业务 部 内 电话 号 码 为 空 
白 的 所 有 用 户 账户 的 话 : 【请 如 图 3-1 万 二 十 汪汪 天 二 表演 字 民 洲 渤 插 用 人 和光 司 
电话 号 码 属性 2 条 件 选择 不 存在 2 单 击 涨 别 按钮 2 单 击 天 确 
查找 条 件 。 
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3.1.7” 域 控制 器 之 间 数 据 的 复制 


如 果 域 内 有 多 台 域 控制 器 的 话 ， 则 当 更 改 AD DS 数 据 库 内 的 数据 时 ， 例 如 利用 Active 
Directory 管 理 中 心 〈 或 Acetive Direetory 用 户 和 计算 机 ) 来 添加 、 删 除 、 修 改 用 户 账 户 或 其 他 
对 象 ， 则 这 些 变 更 数据 会 先 被 存储 到 所 连接 的 域 控制 器 ， 之 后 再 自动 被 复制 到 其 他 域 控制 
器 。 

可 如 图 3-1-30 所 示 【 选 中 域名 并 右 击 更 改 域 控制 器 人 当前 域 控 制 器 】 查 看 当前 所 连接 的 
域 控 制 器 ， 例 如 图 中 的 DC1.sayms.local， 而 此 域 控制 器 何 时 会 将 其 最 新 更 新 信息 复制 给 其 他 
域 控制 器 呢 ? 可 分 为 以 下 两 种 情况 : 


于 Acive Diectory 特权 中 


图 Active Dinector.，* =yms (二 中: 可 罗 汪 一 人 1 人 


图 3-130 


浊 自动 复制 ;: 如 果 是 同一 个 站 点 内 的 域 控制 器 ， 则 默认 是 15 秒 钟 后 会 自动 复制 ， 因 此 
其 他 域 控制 器 可 能 等 15 秒 或 更 久 时 间 就 会 收 到 这 些 最 新 的 信息 ; 如 果 是 位 于 不 同 站 
点 的 域 控制 器 ， 则 需要 根据 所 设置 的 复制 计划 来 确定 ( 详 见 第 9 章 ) 。 

外 手动 复制 : 有 时 候 可 能 需要 手动 复制 ， 例 如 网 络 故障 造成 复制 失败 ， 这 时 不 希望 等 
到 下 一 次 的 自动 复制 ， 而 是 能 够 立即 复制 。 以 下 假设 要 从 域 控制 器 DC1 复 制 到 
DC2。 请 到 任意 一 台 域 控制 器 上 【 单 击 左 下 角 开 始 图 标 田 QWindows 管理 工具 
了 Acetivye Direetory 站 点 和 服务 SitesQ2Default-First-Site-NameQServers 怀 展开 目标 
域 控制 器 ( DC2 ) 忆 如 图 3-1-31 所 示 单 击 NTDS Settings 仿 选中 右 侧 源 域 控制 器 

(DC1 ) 并 右 击 马 立 即 复制 〗。. 


ED 


与 组 策略 有 关 的 设置 会 先 被 存储 到 扮演 PDC 模 拟 器 操作 主机 角色 的 域 控制 器 内 ， 然 后 由 
_PDC 模 拟 器 操作 主机 复制 给 其 他 的 域 榨 制 器 ( 见 第 10 章 ) 。 
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3.2 ”一 次 同时 新 建 多 个 用 户 账 户 


如 果 是 利用 Active Direetory 管 理 中 心 〈 或 Aetive Direetory 用 户 和 计算 机 ) 的 图 形 界面 来 
新 建 大 量 用 户 账户 的 话 ， 将 花费 很 多 时 间 来 重复 执行 相同 的 创建 账户 操作 。 此 时 可 以 利用 系 
统 内 置 的 工具 程序 csvde.exe、ldifde.exe 或 dsadd,exe 等 ， 以 节省 创建 用 户 账户 的 时 间 。 


浊 esvde.exe: 可 以 利用 它 来 新 建 用 户 账 户 (或 其 他 类 型 的 对 象 ) ， 但 不 能 修改 或 删除 
用 户 账户 。 请 事先 将 用 户 账 户 数据 输入 到 纯 文 本 文件 (text file ) ， 然 后 利用 
csvde,exe 将 文件 内 的 这 些 用 户 账户 一 次 同时 导入 到 AD DS 数 据 库 。 

匀 ldifde.exe: 可 以 利用 它 来 新 建 、 删 除 、 修 改 用 户 账户 【或 其 他 类 型 的 对 象 ) 。 请 事 
先 将 用 户 账户 数据 输入 到 纯 文本 文件 内 ， 然 后 利用 ldifde.exe 将 文件 内 的 这 些 用 户 账 
户 一 次 同时 导入 到 AD DS 教 据 库 。 

浊 dsadd.exe、dsmod.exe 与 dsrm.exe: dsadd.exe 用 来 新 建 用 户 账户 (或 其 他 类 型 的 对 
象 ) ，dsmodexe 用 来 修改 用 户 账 户 ，dsrm.exe 用 来 删除 用 户 账户 。 这 里 需要 建立 批 处 理 
文件 ， 然 后 利用 这 3 个 程序 将 要 新 建 、 修 改 或 删除 的 用 户 账户 输入 到 此 批 处 理 文件 。 


以 csvde.exe 与 ldifde.exe 这 两 个 程序 来 说 ， 请 先 利 用 可 以 编辑 纯 文 本 文件 的 程序 【例如 记 
事 本 ) 来 将 用 户 账户 数据 得 入 到 文件 内 : 


需要 指明 用 户 账户 的 存储 路 径 (distinguished name，DN ) 
需要 包含 对 象 的 类 型 ， 例 如 user 

需要 包含 “用 户 SamAccountName 登 录 ” 账 户 

应 该 要 包含 “用 户 UPN 有 登录” 账户 

可 以 包含 用 户 的 其 他 信息 ， 例 如 电话 号 码 、 地 址 等 
无 法 设置 用 户 的 密码 

由 于 所 建立 的 用 户 账户 都 没有 密码 ， 因 此 最 好 将 用 户 账 户 禁 用 


区 区 区 区 区 区 乓 


二 Windows Server 2016 Active Directory 配置 指南 


3.2.1 利用 csvde.exe 来 新 建 用 户 账户 


我 们 将 利用 记事 本 〈notepad) 来 说 明 如 何 建立 供 csvde.exe 使 用 的 文件 ， 此 文件 的 内 容 如 
图 3-2-1 所 示 。 

图 中 第 2 行 〈《 含 ) 以 后 都 是 要 建立 的 每 一 个 用 户 账 户 的 属性 数据 ， 各 属性 数据 之 间 利 用 逗 
号 (，) 隔 开 。 第 1 行 是 用 来 定义 第 2 行 〈 含 》 以 后 相对 应 的 每 一 个 属性 。 例 如 第 1 行 的 第 ! 个 
字段 为 DN (Distinguished Name) ， 表 示 第 2 行 开始 每 一 行 的 第 1 个 字段 代表 新 对 象 的 存储 路 
径 ， 又 如 第 1 行 的 第 2 个 字段 为 objectClass， 表 示 第 2 行 开 始 每 一 行 的 第 2 个 字段 代表 新 对 象 的 


园 wserstbt - 记 李 本 一 已 区 
文件 篇 各 (E) 柯 S(O) 查看 (V) 帮助 (H) 
DN, 中 1 交 全， userPrin5ipalName, displayName, userAccountControl 


“CNE 汪 有 =sayms, DC=local ,useri dennis, denni sgsayms, 1ocal， 若 人 514 
隐 汉 洛 有 =sayms, DC=1ocal“, useri steye) Stevegsayms. 1ocal, 张 ! 
DU= 


=sayms, DC=1ocal“, user| jackie jackiegsayms, 1ocal, 陈 大 海 ， 4 


图 32-1 
下 面 利 用 图 3-2-1 中 的 第 2 行 数据 进行 说 明 ， 如 表 3-2-1 所 示 。 


表 3-2-1 
属性 值 与 说 阴 
DN (distinguished name) CN= 王 小 溪 ，OU= 业 务 部 ，DC=sayms，DC=local: 对 象 的 存储 路 径 
objectClass user: 对 象 类 型 
SAMAccountName dennis: 用 户 SamAccountName 登 录 名 
userPrincipalName dennis(GQsayms local: 用 户 UPN 登 录 名 
displayName 主 小 溪 :， 显示 名 称 
userAccountControl 514: 表示 禁用 此 账户 〈512 表 示 启 用 ) 


文件 建 好 后 ， 打 开 Windows PowerShell， 然 后 执行 以 下 命令 参考 图 3-2-2) ， 假 设 文件 
名 为 usersl,txt， 并 且 文 件 是 位 于 C:vtest 文 件 夹 内 : 


csvde -if ciNtestMUsersl .tx 


indows powershell 
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图 3-2-3 为 执行 后 所 建立 的 新 账户 ， 图 中 向 下 箭头 符号 表示 账户 被 禁用 。 


妖 Active Director < 业 5 儿 加 


图 323 


3.2.2 ”利用 ldifde.exe 来 新 建 、 修 改 与 删除 用 户 账户 


以 下 利用 记事 本 来 说 明 如 何 建立 供 ldifde,exe 使 用 的 文件 ， 其 内 容 类 似 于 图 3-2-4。 


1 两 组 命令 之 “| 司 userszbt - 记事 本 二 

0 文 #HD， 锭 日 习 HIO) 查看 帮助 (H) 

2 修改 属性 信 QH 可 直 人 ,0U= 业 务 部 , DC=sayms, DC=local ~ 

息 时 ， 每 个 属 |objectClass:user 新 建 一 个 

性 后 机 必须 以 | :NAsceuntlans:join ai 用 户 厂 号 
结 |userPrincipa1Name: joingsayms- 1oca 

入 结 民 二 SPlayiane: 林 起 苇 

了 |userAccountControl:514 

空 一 行 一 一 * - 和 刷 际 -个 

的 条 电视 的 健 Deame,DOTRcd 一 用户 账号 
空 一 行 生 


DR:CN= 陈 大 海 ,0U= 业 务 部 , DC=sayms, DC=1ocal 
changetype:modify 


eplace:shMAccountNane 修改 一 个 

ANIAccountNanme:robert 用户 账号 
二 号 -下 的 两 个 属 

=aplace:userPrincipalNane 性 


userPrincipalName:robertsayms. 1ocal 


图 32-4 
请 参考 图 3-2-4 来 建立 文件 ， 如 果 此 文件 最 后 还 要 增加 其 他 账户 的 话 ， 请 在 减 号 之 后 至 少 
空 一 行 后 再 输入 数据 。 注 意 保存 时 需 如 图 3-2-5 所 示 在 编码 处 选择 Unicode， 否 则 文件 内 的 中 
文字 符 在 导入 到 AD DS 数 据 库 时 会 有 问题 。 


个 局 < 本 本 和 (C) ，test 
组 织 ”新 建文 件 赤 
量 T 牙 衬 


名 称 


国 wertad 


罩 users2bd 


已 


玖 案 "test 


修改 日 期 


2018/5112 1936 。 文 志文 本 | 
201815112 2014 。 文 二 文档 


光 


完成 后 请 打 天 


图 32.5 


FWindows PowerShell， 然 后 执行 以 下 


users2.txt， 并 且 文 件 是 位 于 Cxtest 文 件 夹 内 : 


laifde =- 证 E CINtest\VuserSs2.txt 


全 
前 


令 


昌 


参 


考 


了 


图 3-2-6) ， 假 设 文件 名 为 


二 管理 员 : Windows PowerShell 


图 3-246 


如 果 要 将 数据 导入 到 指定 的 域 控制 器 的 话 ， 请 加 入 -s 参 数 ， 例 如 《〈 此 范例 假设 是 要 导入 
到 域 控制 器 dc1.sayms.local) : 


ldifde -s dcl.sayms.local 


ED 


-i-f cxNtestNvDsers2:txt 


csvde 与 ldifde 命 令 的 详细 语法 可 利用 csvde /? 与 lditde /? 来 查看 。 


3.2.3， 利 用 dsadd.exe 等 程序 添加 、 修 改 与 删除 用 户 账 户 


以 下 利用 记事 本 来 说 明 如 何 建立 批 处 理 文件 〈batch file) ， 然 后 将 dsadd、dsmod 与 dsrm 
命令 输入 到 此 文件 内 ， 并 利用 它们 来 添加 、 修 改 与 删除 用 户 账户 。 此 文件 内 容 类 似 图 3-2-7， 
图 中 针对 这 3 个 命令 各 给 出 一 个 示例 。 


赂 as 


第 3 章 域 用 户 与 组 账户 的 管理 “| 时 时 


本 全 = 
后 ser < 芒 和 DC=1local”-sanid Bob -upn bobSsayns., lpcal -display 许 贺 字 -disabled yes 之 
本 Ta 030cal -un Payirgaayme local -pwd 1laaahAA “191 276S4321 


生 革 : 刘 : 这 =saymai DC=local”-nopromgt 


图 32-7 


站 第 1 行 dsadd 命 令 : 它 用 来 新 建 一 个 位 于 CN= 许 圆 池 ,OU= 业 务 部 ,DC=sayms,DC=local 
的 用 户 账户 ， 其 中 的 -samid Bob 用 来 将 其 用 户 SamAccountName 登 录 名 设置 为 
Bob 、-upnbob@sayms.local 用 来 将 其 用 户 UPN 登 录 名 设置 为 bob@sayms.local、 
-display 许 圆 池 用 来 将 其 显示 名 设置 为 许 圆 池 、-disabled yes 表 示 禁 用 此 账户 。 

习 第 2 行 dsmod 命 令 : 用 来 修改 位 于 CN= 王 小 溪 ,OU= 业 务 部 ,DC=sayms,DC=local 的 用 户 
账户 ， 其 中 -upnedwin(Osayms.local 用 来 将 其 用 户 UPN 登 录 名 更 改 为 edwin@sayms. 
local、-pwdlllaaAA 用 来 将 其 密码 更 改 为 11laaAA、-tel 27654321 用 来 将 其 电话 号 码 
更 改 为 27654321. 

外 第 3 行 dsrm 命 令 : 用 来 删除 位 于 CN= 李 小 洋 ,OU= 业 务 部 ,DC=sayms,DC=local 的 用 户 
了 账户， 其 中 的 -noprompt 表 示 不 显示 删除 确认 的 界面 。 

匀 最 后 一 行 的 pause 命 令 是 为 了 让 界面 暂停 ， 以 便于 查看 命令 执行 的 结果 。 


请 参考 图 3-2-7 来 建立 文件 ， 注 意 保存 时 因为 记事 本 默认 会 自动 附加 .txt 的 扩展 名 《系统 默 
认 会 隐藏 扩展 名 ) ， 然 而 我 们 必须 将 其 存储 成 扩展 名 是 .bat 或 .cmd 的 文件 ， 因 此 保存 时 请 如 图 
3-2-8 所 示 在 文件 名 前 后 附加 双 引号 ， 例 如 “AddNewUserbat”， 和 否则 其 扩展 名 将 是 .txt。 


司 另存 为 X 
个“ 了 “ 本 地 碍 盘 (Cj ， test ww 古 和 表 泰 "testr 亡 
组 织 ~ 新 于 文件 夫 is 和 @ 
图 X 相 A 四 相 下 日 其 2 
及 但 力 userslea za018/5112 1936 。 文 志文 入 | 
小 音乐 图 userszba 2018/5/12 2f16 。 文 相 文档 


~ REEXf 夫 As 司 EEs5] 忆 
图 328 


完成 后 可 通过 直接 在 文件 资源 管理 器 内 双击 此 批 处 理 文件 的 方式 来 执行 它 ， 此 时 系统 会 
依 序 执行 此 文件 内 的 命令 ， 如 图 3-2-9 所 示 。 


图 32-9 


Dsadd.exe、dsmod.exe 与 dsrm.exe 等 3 个 程序 还 有 许多 参数 可 以 使 用 ， 其 详细 语法 请 利用 
dsadd /2?、dsmod /? 与 dsrm /? 来 查看 。 


3.3 ” 域 组 账户 


如 果 能 善于 利用 组 〈group) 来 管理 用 户 账户 ， 则 必定 能 够 减轻 许多 网 络 管理 负担 。 例 如 
当 针对 业务 部 组 设置 权限 后 ， 此 组 内 的 所 有 用 户 都 会 自动 拥有 此 权限 ， 因 此 就 不 需要 单独 针 
对 每 一 个 用 户 进行 配置 了 。 


组 账户 也 都 有 唯一 的 安全 标识 符 ( security identifier，SID ) 。 


3.3.1 域内 的 组 类 型 


AD DS 的 域 组 分 为 以 下 两 种 类 型 ， 并 且 它 们 之 间 可 以 相互 转换 : 

浊 安全 组 ( security group ) : 它 可 以 被 用 来 分 配 权 限 ， 例 如 可 以 指定 安全 组 对 文件 具备 
读 取 的 权限 。 它 也 可 以 用 在 与 安全 无 关 的 工作 上 ， 例 如 可 以 给 安全 组 发 送 电子 邮 
和 料 i 

匀 发 布 组 (distribution group ) : 它 被 用 在 与 安全 ( 权限 设置 等 ) 无 关 的 工作 上 ， 例 如 
可 以 给 发 布 组 发 送 电子 邮件 ， 但 是 无 法 为 发 布 组 分 配 权 限 。 


3.3.2 ”组 的 作用 域 


从 组 的 使 用 范围 《作用 域 ) 角度 出 发 ， 域 内 的 组 分 为 以 下 三 种 〈 见 表 3-3-1) : 本 地 域 组 
(domain local group) 、 全 局 组 〈global group) 、 通 用 组 〈universal group) 。 


围 ss 
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1， 本 地 域 组 
它 主要 是 被 用 来 分 配对 其 所 属 域内 资源 的 访问 权限 ， 以 便 可 以 访问 该 域内 的 资源 。 


站 其 成 员 可 以 包含 任何 一 个 域内 的 用 户 、 全 局 组 、 通 用 组 ; 也 可 以 包含 相同 域内 的 本 
地 域 组 ;但 无 法 包含 其 他 域内 的 本 地 域 组 。 

浊 本 地 域 组 只 能 够 访问 该 域内 的 资源 ， 无 法 访问 其 他 不 同 域内 的 资源 ;换血 话说 在 设 
置 权 限时 ， 只 能 设置 相同 域内 的 本 地 域 组 的 权限 ， 无 法 设置 其 他 不 同 域内 的 本 地 域 


组 的 权限 。 
表 3-3-1 
特性 条 6 组 全 局 组 通用 组 
所 有 域内 的 用 户 、 全 局 
可 包 和 的 成 员 | 组、 天 用 组 ， 相 同 翅 内 的 | 相同 红 内 的 用 户 与 全 局 组 | 到 有 上 风 的 用 请” 全 局 
本 地 域 组 后 
可 以 在 哪 一 个 域内 
直人 同一 个 域 所 有 城 所 有 域 
可 以 被 转换 成 通用 组 【只 | 可 以 被 转换 成 通用 组 《只 | 可 以 被 转换 成 域 本 地 组 
可 要 原 组 内 的 成 员 不 包含 本 | 要 原 组 不 来 属于 任何 一 个 | 可 以 被 换 成 全 局 组 只 杰 
有 地 域 组 即 可 ) 全 局 组 即 可 ) 原 组 夫 的 成 员 不 包含 通用 
组 即 可 》 
2. 全 局 组 
它 主 要 是 用 来 组 织 用 户 ， 也 就 是 可 以 将 多 个 即将 被 赋予 相同 权限 的 用 户 帐户， 加 入 到 同 


一 个 全 局 群 组 内 。 


匀 全 局 组 内 的 成 员 ， 只 能 够 包含 相同 域内 的 用 户 与 全 局 组 。 

涪 全 局 组 可 以 访问 任何 一 个 域内 的 资源 ， 也 就 是 说 可 以 在 任何 一 个 域内 设置 全 局 组 的 
权限 (这 个 全 局 组 可 以 位 于 任何 一 个 域内 ) ， 以 便 让 此 全 局 组 具备 权限 来 访问 该 域 
内 的 资源 。 


3 通用 组 
它 可 以 在 所 有 域内 被 设置 访问 权限 ， 以 便 访问 所 有 域内 的 资源 。 


习 通用 组 具备 “通用 范围 ”特性 ， 其 成 员 可 以 包含 林 中 任何 一 个 域内 的 用 户 、 全 忆 
组 、 通 用 组 。 但 是 它 无 法 包含 任何 一 个 域内 的 本 地 域 组 。 

刘 通用 组 可 以 访问 任何 一 个 域内 的 资源 ， 也 就 是 说 可 以 在 任何 一 个 域内 设置 通用 组 的 
权限 【这 个 通用 组 可 以 位 于 任何 一 个 域内 ) ， 以 便 让 此 通用 组 具备 权限 来 访问 该 域 
内 的 资源 。 
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3.3.3， 域 组 的 创建 与 管理 


1. 组 的 新 建 、 删 除 与 重 命名 


如 果 新 建 域 组 时 ， 
Direetory 管 理 中 心 祷 展 天 


可 通过 【 单 击 左下 角 开 始 图 
域名 单 击 容器 或 组 织 单位 3 单 击 右 侧 任务 窗 格 的 新 建 3 组 】 的 方 


标 困 3Windows 管理 工具 23Active 


法 ， 然 后 在 图 3-3-1 中 输入 组 名 、 输 入 供 旧版 操作 系统 来 访问 的 组 名 、 选 择 组 类 型 与 组 作 范 围 


等 。 若 要 删除 组 的 话 ; 


【选中 组 账户 并 右 击 3 删 除 】。 


2. 添加 组 的 成 员 


如 果 要 将 用 户 、 组 等 加 入 到 组 内 的 话 : 


单 击 囊 多 撤 钮 2 单 击 吉 类 坦 狗 按钮 2 选择 要 被 加 入 的 成 员 〈 技 器 二 或 一 汪 键 可 


PP 
创建 组: 北美 组 [EL 
组 (G) 组 了 国 
合理 者 但 ) 了 六 3 王子 部 了 4 
成 员 介 组 camAccoun 六 北 训 组 全 6 枉 ou= 业 5 了 栈 DC=samaDC=local 
成 RM) ae E 和 
EBP) 22 号 2 

癌 杂 用 
口内 bash 名 
方 ?BE 记 了 2 
图 3-3-1 


【如 图 3-3-2 所 示 单 击 成 员 区 域 右 侧 的 疆 测 按钮 2 


同时 选择 多 个 
账户 ) 3 单 击 荞 攻 护 钮 2……] 。 
芭 口 共 
创建 组 ; 北美 组 本 了] 熙 
组 (G) 成 员 电 本 区 之 
管理 者 (B) 
成 员 疡 本 吕 站 
Ce 和 避 Active Direct. 语 
Ra 十 1F 匡 
图 33-2 


3.3.4 AD DS 内 置 的 组 


AD DS 有 许多 内 置 组 ， 它 们 分 别 隶 属于 本 地 域 组 、 全 局 组 、 通 用 组 与 特殊 组 。 


国 sa 


人 
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内 置 的 本 地 域 组 


这 些 本 地 域 组 本 身 已 被 赋予 一 些 权限 ， 以 便 让 其 具备 管理 AD DS 工 的 能 力 。 只 要 将 用 户 
或 组 账户 加 入 到 这 些 组 内 ， 这 些 账户 也 会 自动 具备 相同 的 权限 。 以 下 是 Builtin 容 器 内 常用 的 


本 地 域 组 。 


站 


区 必 区 


2 


Accotint Operators: 其 成 员 默 认可 以 在 容器 与 组 织 单位 内 新 建 / 删 除 /修改 用 户 、 组 与 
计算 机 账户 ， 不 过 部 分 内 置 的 容器 例外 ， 例 如 Builtin 容 器 与 Domain Controllers 组 织 
单位 ， 同 时 也 不 允许 在 部 分 内 置 的 容器 内 新 建 计算 机 账户 ， 例 如 Users。 他 们 也 无 法 
更 改 大 部 分 组 的 成 员 ， 例 如 Administrators 等 。 

Administrators; 其 成 员 具 备 系统 管理 员 权 限 ， 他 们 对 所 有 域 控制 器 拥有 最 大 的 控制 
权限 ， 可 以 执行 AD DS 管 理工 作 。 内 置 系统 管理 员 Administrator 就 是 此 组 的 成 员 ， 而 
且 无 法 将 其 从 此 组 内 出 除 。 

此 组 默认 的 成 员 包 念 了 Administrator， 全 局 组 Domain Admins， 通 用 组 Enterprise 
Admins 等 。 

Backup Operators: 其 成 员 可 以 通过 Windows Server Backup 工 具 来 备份 与 还 原 域 控制 
器 内 的 文件 ， 不 论 他 们 是 否 有 权限 访问 这 些 文件 。 其 成 员 也 可 以 将 域 控 制 器 关机 。 
Guests: 其 成 员 无 法 永久 改变 其 桌面 环境 ， 当 他 们 登录 时 ， 系 统 会 为 他 们 建立 一 个 
临时 的 用 户 配置 文件 ， 而 注销 时 此 配置 文件 就 会 被 删除 。 此 组 默认 的 成 员 为 用 户 账 
户 Guest 与 全 局 组 Domain Guests。 

Network Configuration Operators; 其 成 员 可 在 域 控制 器 上 执行 常规 的 网 络 配置 工 
作 ， 例 如 更 改 下 地址， 但 不 可 以 安装 、 删 除 驱动 程序 与 服务 ， 也 不 能 执行 与 网 络 服 
务 器 设置 有 关 的 工作 ， 例 如 DNS 与 DHCP 服 务 器 的 配置 。 

了 Performance Monitor Users: 其 成 员 可 监视 域 控制 器 的 工作 性 能 ， 

Pre-Windows 2000 Compatiple Aecess; 此 组 主要 是 为 了 与 Windows NT 40 (或 更 旧 
的 系统 ) 兼容 。 其 成 员 可 以 读 取 AD DS 域 内 的 所 有 用 户 与 组 账户 。 其 默认 的 成 员 为 
特殊 组 Authenticated Users。 请 仅 在 用 户 的 计算 机 是 Windows NT 4.0 或 更 旧 的 系统 
时 ， 才 将 用 户 加 入 到 此 组 内 。 

了 Print Operators: 其 成 员 可 以 管理 域 控 制 器 上 的 打印 机 ， 也 可 以 将 域 控制 器 关机 。 
Remote Desktop Users: 其 成 员 可 从 远程 计算 机 通过 远程 桌面 来 登录 。 

Server Operators: 其 成 员 可 以 备份 与 还 原 域 控制 器 内 的 文件 ;锁定 与 解锁 域 控制 
器 ， 将 域 控 制 器 上 的 硬盘 格式 化 ;更 改 城 控制 器 的 系统 时 间 ， 将 域 控制 器 关机 等 。 
Users: 其 成 员 仅 拥有 一 些 基本 权限 ， 例 如 执行 应 用 程序 ， 但 是 他 们 不 能 修改 操作 系 
统 的 设置 、 不 能 更 改 其 他 用 户 的 数据 ， 不 能 将 服务 器 关机 。 此 组 默认 的 成 员 为 全 局 
组 Domain Users, 


内 置 的 全 局 组 


AD DS 内 置 的 全 局 组 本 身 并 没有 任何 的 权限 ， 但 是 可 以 将 其 加 入 到 具备 权限 的 本 地 域 
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组 ， 或 另外 直接 给 此 全 局 组 分 配 权限 。 这 些 内 置 全 局 组 是 位 于 Users 容 器 内 。 以 下 列 出 常用 的 


全 局 组 。 


习 


Domain Admins: 域 成 员 计 算 机 会 自动 将 此 组 加 入 到 其 本 地 组 Administrators 内 ， 因 
此 Domain Admins 组 内 的 每 一 个 成 员 ， 在 域内 的 每 一 台 计 算 机 上 都 具备 系统 管理 员 权 
限 。 此 组 默认 的 成 员 为 域 用 户 Administrator- 

Domain Computers: 所 有 的 域 成 员 计 算 机 ( 域 控 制 器 除外 ) 都 会 被 自动 加 入 到 此 组 内 。 
Domain Controllers: 域内 的 所 有 域 控制 器 都 会 被 自动 加 入 到 此 组 内 ， 

Domiain Users: 域 成 员 计算 机 会 自动 将 此 组 加 入 到 其 本 地 组 Users 内 ， 因 此 Domain 
Users 内 的 用 户 将 享有 本 地 组 Users 所 拥有 的 权限 ， 例 如 拥有 允许 本 地 登录 的 权限 。 此 
组 默认 的 成 员 为 域 用 户 Administrator， 而 以 后 新 建 的 域 用 户 账 户 都 自动 会 隶属 于 此 
组 。 

Domain Guests: 域 成 员 计 算 机 会 自动 将 此 组 加 入 到 本 地 组 Guests 内 。 此 组 默认 的 成 
员 为 域 用 户 账户 Guest。 


3. 内置 的 通用 组 
习 Enterprise Admins; 此 组 只 存在 于 林 根 域 ， 其 成 员 有 权 管 理 林内 的 所 有 域 。 此 组 默 
认 的 成 员 为 林 根 域内 的 用 户 Administrator。 
忆 Schema Admins: 此 组 只 存在 于 林 根 域 ， 其 成 员 具 备 管 理 架 构 ( schema ) 的 权限 。 
此 组 默认 的 成 员 为 林 根 域内 的 用 户 Administrator。 
3.3.5 “特殊 组 账户 
除了 前 面 所 介绍 的 组 之 外 ， 还 有 一 些 特殊 组 ， 而 用 户 无 法 更 改 这 些 特殊 组 的 成 员 。 以 下 
列 出 几 个 常用 的 特殊 组 。 
匀 Everyone: 任何 一 个 用 户 都 属于 这 个 组 。 如 果 Guest 账 户 被 启用 的 话 ， 则 在 为 


忆 


忆 


Everyone 分 配 权限 时 需要 小 心 ， 因 为 如 果 一 位 在 计算 机 内 没有 账户 的 用 户 ， 通 过 网 
络 登录 你 的 计算 机 时 ， 他 会 被 自动 允许 利用 Guest 账 户 来 连接 ， 此 时 因为 Guest 也 是 隶 
属于 Eyeryone 组 ， 所 以 他 将 具备 Everyone 所 拥有 的 权限 。 

Authenticated Users: 任何 利用 有 效用 户 账户 来 登录 此 计算 机 的 用 户 ， 都 隶属 于 此 组 。 
Interactive;， 任何 在 林地 登录 ( 例如 按 [6 + 因 国 + E 加 登录 ) 的 用 户 ， 都 来 局 于 此 
组 

Network': 任何 通过 网 络 登录 此 计算 机 的 用 户 ， 都 隶属 于 此 组 。 

Anonymous Logon: 任何 未 利用 有 效 的 普通 用 户 账户 登录 的 用 户 ， 都 隶属 于 此 组 。 
Anonymous Logon 默 认 并 不 隶属 于 Everyone 组 。 

Dialup， 任何 利用 拨 接 方式 来 连接 的 用 户 ， 都 隶属 于 此 组 。 
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3.4 ”组 的 使 用 原则 


为 了 让 网 络 管理 更 加 容易 ， 同 时 也 为 了 减少 以 后 维护 的 负担 ， 因 此 在 利用 组 来 管理 网 络 
资源 时 ， 建 议 尽量 采用 以 下 的 原则 ， 尤 其 是 大 型 网 络 。 

忆 

习 

| 

汪 让 


G、DL、P 原 则 
G、G、DL、P 原 则 
G、U、DL、P 原 则 
G、G.、U、DL、P 原 则 


区 


A 代 表 用 户 账户 〈user Account) 、G 代 表 全 局 组 〔〈Global group) 、DL 代 表 本 地 域 组 
(Domain Local group) 、U 代 表 通 用 组 〈Universal group》 、P 代 表 权限 〈Permission) 。 


3.4.1 A、G、DL、P 原 则 


A、G、DL、B 原 则 就 是 先 将 用 户 账户 《A) 加 入 到 全 局 组 〈G) 、 再 将 全 局 组 加 入 到 本 地 域 
组 (DL) 内 、 然 后 设置 本 地 域 组 的 权限 (P) ， 如 图 3-4-1 所 示 。 以 此 图 为 例 来 说 ， 只 要 针对 图 中 
的 本 地 域 组 来 设置 权限 ， 则 隶属 于 该 本 地 域 组 的 全 局 组 内 的 所 有 用 户 ， 都 自动 会 具备 该 权限 。 


妇 2 权限 加 
如 (aa 一 一 一 ， = 1 二 一 一 一 乱 
画 户 (A) 洒 


全 局 组 (G) 


图 34-1 
举例 来 说 ， 如 果 甲 域内 的 用 户 需 要 访问 乙 域内 资源 的 话 ， 则 由 甲 域 的 系统 管理 员 负 责 在 
甲 域 建立 全 局 组 、 将 甲 域 用 户 账户 加 入 到 此 组 内 ， 而 乙 域 的 系统 管理 员 则 负责 在 乙 域 建立 本 
地 域 组 、 设 置 此 组 的 权限 、 然 后 将 甲 域 的 全 局 群 组 加 入 到 此 组 内 。 之 后 由 甲 域 的 系统 管理 员 
负责 维护 全 局 组 内 的 成 员 ， 而 乙 域 的 系统 管理 员 则 负责 维护 权限 的 设置 ， 如 此 便 可 以 分 散 管 
理工 作 的 负担 。 


3.4.2 A、G、G、DL、P 原 则 


A、G、G、DL、P 原 则 就 是 先 将 用 户 账户 〈A) 加 入 到 全 局 组 〈G) 、 将 此 全 局 群 加 入 到 
另 一 个 全 局 组 〈G) 内 、 再 将 此 全 局 组 加 入 到 本 地 域 组 〈DL) 内 、 然 后 设置 本 地 域 组 的 权限 
(P) ， 如 图 3-4-2 所 示 。 图 中 的 全 局 组 〈G3) 内 包含 了 2 个 全 局 组 〈《G1 与 G2) ， 它 们 必须 是 
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同一 个 域内 的 全 局 组 ， 因 为 全 局 组 内 只 能 够 包含 位 于 同一 个 域内 的 用 户 账户 与 全 局 组 。 


所 


一 
用 户 (A) 


几 ， Ce 和、 要 了 P) 
本 和 
5 
co 一 w 

用 户 (Aj 


全 局 组 (G2) 


本 地 大 人 (0DU 
图 342 


3.4.3 A:- G、U、DL、P 原 则 


时 


3-4-2 中 的 全 局 组 G1 与 G2 若 不 是 与 G3 在 同一 个 域内 ， 则 无 法 采用 A、G、G、DL:P 原 
为 全 局 组 〈G3 ) 内 无 法 包含 位 于 另外 一 个 域内 的 全 局 组 ， 此 时 需 将 全 局 组 G3 改 为 通用 
组 ， 也 就 是 需 改 用 A、G、U、DL、P 原 则 《〈 如 图 3-4-3 所 示 ) ， 此 原则 是 先 将 用 户 账户 〈A) 


加 入 到 全 局 组 (G) 、 将 此 全 局 组 加 入 到 通用 组 (CU) 内 、 再 将 此 通用 组 加 入 到 域 本 地 组 
CDL) 内 、 然 后 设置 本 地 域 组 的 权限 (P) 。 


则 ， 


用 户 (A) 。 全 局 给 (G 人 


权限 (P) 
:一 锁 
站 本 2 人 
工 - 


用 户 (A) 


全 局 组 (G2) 


本 地 域 组 [DU 


3.44 A、G、G、U、DL、P 原 则 


A、G、G、U、DL、P 原 则 与 前 面 两 种 类 似 ， 在 此 不 再 重复 说 明 。 
也 可 以 不 遵循 以 上 的 原则 来 使 用 组 ， 不 过 会 有 一 些 缺 点 存在 ， 例 如 可 以 ; 


浊 直接 将 用 户 账 户 加 入 到 本 地 域 组 内 ， 然 后 设置 此 组 的 权限 。 它 的 缺点 是 无 法 在 其 他 
域内 设置 此 本 地 域 组 的 权限 ， 因 为 本 地 域 组 只 能 访问 所 属 域内 的 资源 。 

沁 直接 将 用 户 账户 加 入 到 全 局 组 肉 ， 然 后 设置 此 组 的 权限 。 它 的 缺点 是 如 果 网 络 内 包 
含 多 个 域 ， 而 每 个 域内 都 有 一 些 全 局 组 需要 对 此 资源 具备 相同 的 权限 的 话 ， 则 需要 
分 别 为 每 一 个 全 局 组 设置 权限 ， 这 种 方法 比较 浪费 时 间 ， 会 增加 网 络 管理 的 负担 。 
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通过 AD DS 的 组 策略 〈group policy) 功能 ， 可 以 更 容易 管理 用 户 工 作 环境 与 计算 机 环 
境 、 减 轻 网 络 管理 负担 、 降 低 网 络 管理 成 本 。 


组 策略 概述 


区 


利用 组 策略 来 管理 计算 机 与 用 户 环境 

利用 组 策略 限制 访问 可 移动 存储 设备 更 
WMI 算 选 器 Z” 
组 策略 模型 与 组 策略 结果 多 

组 策略 的 委派 管理 克 
入 门 GPO 的 设置 与 使 用 多 


攻 区 区 区 区 区 区 区 攻 
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4.1 组 策略 概述 


组 策略 是 一 个 能 够 让 系统 管理 员 充分 管理 用 户 工作 环境 的 功能 ， 通 过 它 来 确保 用 户 拥有 
符合 要 求 的 工作 环境 ， 也 通过 它 来 限制 用 户 ， 如 此 不 但 可 以 让 用 户 拥有 适当 的 环境 ， 也 可 以 
减 经 系统 管理 员 的 管理 负担 。 


4.1.1 组 策略 的 功能 


以 下 列举 组 策略 所 提供 的 主要 功能 ; 


隔 户 策略 的 设置 : 例如 设置 用 户 账户 的 密码 长 度 、 密 码 使 用 期 限 、 账 户 锁定 策略 等 。 

二 地 策略 的 设置 : 例如 审核 策略 的 设置 、 用 户 权 限 分 配 、 安 全 配置 等 。 

脚本 的 设置 : 例如 登录 与 注销 、 启 动 与 关机 脚本 的 设置 。 

用 户 工 作 环境 的 设置 : 例如 隐藏 用 户 桌 面 上 所 有 的 图 标 、 删 除开 始 菜单 中 的 运行 / 查 

找 /关机 等 选项 、 在 开始 菜单 中 添加 注销 选项 、 删 除 浏览 器 的 部 分 选项 、 强 制 通过 指 

定 的 代理 服务 器 上 网 等 。 

忌 软件 的 安装 与 删除 : 用 户 登 录 或 计算 机 启动 时 ， 自 动 为 用 户 安装 应 用 软件 、 自 动 修 
复 应 用 软件 或 自动 删除 应 用 软件 。 

鸟 限制 软件 的 运行 : 通过 各 种 不 同 的 软件 限制 规则 来 限制 域 用 户 只 能 运行 特定 的 软 
钴 . 

阅 文件 类 的 重 定向 : 例如 改变 文件 、 开 始 菜单 等 文件 夹 的 存储 位 置 。 

总 限制 访问 可 移动 存储 设备 : 例如 限制 将 文件 写 入 口 盘 ， 以 免 企 业 的 机 密 文 件 轻易 被 
带 离 公司 。 

沁 其 他 众多 的 系统 设置 : 例如 让 所 有 的 计算 机 都 自动 信任 指定 的 CA (Certificate 

Anuthority ) 、 限 制 安装 设备 驱动 程序 (device driver ) 等 。 


可 以 在 AD DS 中 针对 站 点 (site) 、 域 (domain ) 与 组 织 单位 OU) 来 设置 组 策略 〈 如 
图 4-1-! 所 示 ) 。 
组 策略 内 包含 计算 机 配置 与 用 户 配 置 两 部 分 : 


匀 计算 机 配置 : 当 计算 机 启动 时 ， 系 统 会 根据 计算 机 配置 的 内 容 来 设置 计算 机 的 环 
境 。 举 例 来 说 ， 如 果 针 对 域 sayms,local 设 置 了 组 策略 ， 则 此 组 策略 内 的 计算 机 配置 就 
会 被 应 用 到 (apply ) 这 个 域内 的 所 有 计算 机 。 

习 用 户 配 置 ; 当 用 户 登 录 时 ， 系 统 会 根据 用 户 配 置 的 内 容 来 设置 用 户 的 工作 环境 。 举 
例 来 说 ， 如 果 针 对 组 织 单位 业务 部 设置 了 组 策略 ， 则 其 中 的 用 户 配 置 就 会 被 应 用 到 
这 个 组 织 单位 内 的 所 有 用 户 。 


区 区 区 区 
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酌 Active Diredory 站 各 和 一 口 X 
广 HD 二 fRIA) 下 查 M。 福 有 人 H) 
和 路 | 者 加 | 其 回 加 车 | 目 可 | 马 
天 active piectory 站 训 服 汪 IDCTsaymslod| EE 和 


> 浅 Ay 可 以 针对 、\。 gaw 
习 miersie Trans (站 点 设置 。 sk 于 
” 司 Subnets 
时 组 策略 


还 可 以 针对 
Domain Conelere 人 组 织 单位 设 
| 


Windows Power5hell 历史 沁 公 


图 4--1 
除了 可 以 针对 站 点 、 域 与 组 织 单位 来 设置 组 策略 之 外 ， 还 可 以 在 每 一 台 计 算 机 上 设置 其 
本 地 计算 机 策略 〈local computer policy) ， 这 个 计算 机 策略 只 会 应 用 到 本 地 计算 机 与 在 这 人 台 
计算 机 上 登录 的 所 有 用 户 。 


4.1.2 ”组 策略 对 象 


组 策略 是 通过 组 策略 对 象 〈Group Policy Object，GPO ) 来 设置 的 ， 只 要 将 GPO 连 接 
(link) 到 特定 的 站 点 、 域 或 组 织 单位 ， 此 GPO 内 的 设置 值 就 会 影响 到 该 训 域 或 组 织 单 
位 内 的 所 有 用 户 与 计算 机 。 


1 内置 的 GPO 
AD DS 域 有 两 个 内 置 的 GPO， 它 们 分 别 如 下 。 


沁 Default Domain Policy: 此 GPO 默 认 已 经 被 连接 到 域 ， 因 此 其 设置 值 会 被 应 用 到 整个 
域内 的 所 有 用 户 与 计算 机 。 
咏 Default Domain Controller Policy ， 此 GPO 软 认 已 经 被 连接 到 组 织 单 位 Domain 
Controllers ， 因 此 其 设置 值 会 被 应 用 到 Domain Controllers 内 的 所 有 用 户 与 计算 机 
(Domain Controllers 内 默认 只 有 域 控制 器 的 计算 机 账户 ) 


可 以 通过 【 单 击 左下 角 开 始 图 标 田 2Windows 管理 工具 组 策略 管理 如 图 4-1-2 所 示 了 
的 方法 验证 Default Domain Policy 与 Default Domain Controller Policy GPO 分 别 已 经 被 连接 到 域 


95 
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sayms.local 与 组 织 单位 Domain Controllers。 


世人 于 一 司 ” 之 
FE - = 秆 
名 中 | 立 外 | 三 | 目 四 

总 二 区 理 了 |sarmas- local 


在 尚未 彻底 了 解 组 策略 以 前 ， 请 暂时 不 要 随意 更 改 Default Domain Policy 或 Default 
Domain Controller Policy 这 两 个 GPO 的 设置 值 ， 以 免 影响 系统 运行 。 


2，GPO 的 内 容 
GPO 的 内 容 被 分 为 GPC 与 GPT 丙 部分， 它们 分 别 被 存储 在 不 同 的 位 置 。 


外 GPC (Group Policy Container) : GPC 是 存储 在 AD DS 数 据 库 内 ， 它 记载 着 此 GPO 的 
属性 与 版 本 等 数据 。 域 成 员 计算 机 可 通过 属性 来 得 知 GPT 的 存储 位 置 ， 而 域 控制 器 
可 利用 版 本 来 判断 其 所 拥有 的 GPO 是 否 为 最 新 版 本 ， 以 便 作 为 是 否 需要 从 其 他 域 控 
制 器 复制 最 新 GPO 设 置 的 依据 。 
可 以 通过 以 下 方法 来 查看 GPC: 【 单 击 左下 角 开 始 图 标 因 人 Windows 管理 工具 
2Active Directory 管 理 中 心 写 选择 树 视 图 图 标 习 单 击 域 ( 例如 sayms ) 马 展 开 容 器 
System 忆 如 图 4-1-3 所 示 单 击 Policies 】， 图 中 间 图 起 来 的 部 分 为 Default Domain Policy 
与 Default Domain Controller Policy 这 两 个 GPO 的 GPC， 图 中 的 数字 分 别 是 这 两 个 
GPO 的 GUID ( Global Unique Identifier ) 。 


图 413 


如 果 要 查询 GPO 的 GUID 的 话 ， 例 如 要 查询 Default Domain Policy GPO 的 GUID， 可 以 通 
过 如 图 4-1-4 所 示 【 在 组 策略 管理 控制 台中 单 击 Default Domain Policy 人 单 击 详细 信息 选项 卡 忆 
唯一 ID】 的 方法 。 


ET 二 
羽 六 Ha 于 本 理 Do 和 0 - 吉 
各 中 | 屿 四 吾 | 目 四 
ET etaalt Deaain Policy 
芭 人 全 司 MB 设 是。 和 六 
病 samalocal | 过 EPE 
同 pe Domain pofay | 
司 poemsin Conoler | 全 Domain Admmins (SAYMSVDomain Admina 
翅 4 如 | 
访 mpmn | smmm nej41aa 222205 
“区 ww sa 
Sa。 | om。 morem 
3 有 
芷 3 是 
| 
| 


| 二 = 


图 414 
匀 GPT (Group Policy Template ) : GPT 是 用 来 存储 GPO 设 置 值 与 相关 文件 ， 它 是 一 个 
文件 夹 ， 而 且 是 被 建立 在 域 控制 器 的 %systemaroot%\SYSVOL\Asysyo\ 碘 如 Policies 文 
件 夹 内 。 系 统 是 利用 GPO 的 GUID 来 当 作 GPT 的 文件 夫 名 称 ， 例 如 图 4-1-5 中 两 个 GPT 
文件 夹 分 别 是 Default Domain Policy 与 Default Domain Controller Policy GPO 的 GPT。 


JpPoliiaes 口 区 
亡 -不 由 swol ，saymslocal ，polcies ， 六 加。 测 要 "Peics 的 
1 轩 segng 四 - 个 下 昌明 
) 同 sgng we 16AC1786C-016F-11D2-945F-00CD4fB964F9) 18/123 2222 。 文件 碍 
旦 wma 182F340-016D-11D2-945F-00C04FB984F9) 01B/4/23 22i22 文 忻 闪 
强 saymaieaal 
了 Poices 5 
jscripts PERRRRRRRRRTRERREERRREE 二 一 一 3 3 > 
2 日。 基 志 矣 Ex =- 
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ED 


台 计 算 机 还 有 本 地 计算 机 策略 ， 可 以 通过 【 按 于 + 国 健 23 和 输入 MMC 后 单 击 项 划 坊 钮 
2 单 击 文件 菜单 3 添加 /删除 管理 单元 3 点 选 组 策略 对 象 编辑 器 马 依 序 单 击 添 轴 |、 
完 击 、 芋 证 按钮 ] 的 方法 建立 管理 本 地 计算 机 策略 的 工具 (或 直接 按 吉 { 国 链 3 输 入 
gpeditmse 后 单 击 赛 按钮 )。 本 地 计算 机 策略 的 设置 数据 是 被 存储 在 本 地 计算 机 的 
%systemroo1%NSystem32\ GroupPolicy 文 件 夹 内 ， 它 是 隐藏 文件 夹 。 


4.1.3 “策略 设置 与 首选 项 设置 


组 策略 的 设置 可 分 为 策略 设置 与 首选 项 设置 两 种 : 


包 只 有 域 的 组 策略 才 有 首选 项 设置 功能 ， 本 地 计算 机 策略 并 无 此 功能 。 

习 策略 设置 是 强制 性 设置 ， 客 户 瑞 应 用 这 些 设置 后 就 无 法 改编 (有 些 设置 虽然 客户 端 
可 以 自行 更 改 设置 值 ， 不 过 下 次 应 用 策略 时 ， 仍 然 会 被 改 为 策略 内 的 设置 值 ) ; 然 
而 首选 项 设置 是 非 强制 性 的 ， 客 户 端 可 自行 更 改 设置 值 ， 因 此 首选 项 设置 适合 于 用 
来 当 作 默 认 值 。 

浊 如 果 要 荫 选 策略 设置 的 话 ， 必 须 针 对 整个 GPO 来 筛选 ， 例 如 某 个 GPO 已 经 被 应 用 到 
业务 部 ， 但 是 我 们 可 以 通过 簿 选 设置 来 让 其 不 要 应 用 到 业务 部 经 理 Mary， 也 就 是 整 
个 GPO 内 的 所 有 设置 项 目 都 不 会 被 应 用 到 Mary; 然而 首选 项 设置 可 以 针对 单一 设置 
项 目 来 煌 选 。 

习 如 果 在 策略 设置 与 首选 项 设置 内 有 相同 的 设置 项 目 ， 而 且 都 已 做 了 定义 ， 但 是 其 设 
置 值 却 不 相同 的 话 ， 则 以 策略 设置 优先 。 

站 有 要 应 用 首选 项 设置 的 客户 端 需要 安装 支持 首选 项 设置 的 ClientSide Extension 
(CSE) Windows 7( 含 ) 之 后 的 计算 机 已 内 不 包含 CSE， 而 Windows Vista SP1&SP2 
也 可 以 通过 安装 Microsoft 远 程 服务 器 管理 工具 ( Remote Server Administration 
Tools，RSAT ) 来 安装 CSE 

忆 要 应 用 首选 项 的 客户 端 还 需要 安装 XMLLite。 Windows XP SP3( 念 ) 之 后 的 计算 机 已 不 
包含 XMLLite 


4.1.4 组 策略 的 应 用 时 机 


机 生效 ， 而 是 4 


当 修改 了 站 点 ， 域 或 组 织 单位 的 GPO 设 置 值 后 ， 这 些 设置 值 并 不 是 立刻 就 对 用 户 与 计算 
硕 等 GPO 设 置 值 被 应 用 到 用 户 或 计算 机 后 才 有 效 。GPO 设 置 值 内 的 计算 机 设 


置 与 用 户 设置 的 应 用 时 机 并 不 相同 。 


国 ss 


1 计算机 配置 的 应 用 时 机 
域 成 员 计 算 机 会 在 以 下 的 情况 下 应 用 GPO 的 计算 机 配置 值 : 
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站 计算 机 开机 时 会 自动 应 用 。 
包 如 果 计 算 机 已 经 开机 的 话 ， 则 会 每 隔 一 段 时 间 自 动 应 用 : 
罩 域 控制 器 : 默认 是 每 隔 5 分 钟 自动 应 用 一 次 ， 
四 非 域 控制 器 : 黑 认 是 每 隔 90~120 分 钟 之 间 自 动 应 用 一 次 ， 
旺 不 论 策略 设置 值 是 否 有 变化 ， 都 会 每 隔 16 小 时 自动 应 用 一 次 安全 策略 。 
匀 手动 应 用 : 到 域 成 员 计 算 机 上 打开 Windows PowerShell 窗 口 (或 命令 提示 符 ) 、 执 行 
gpupdate /target:computer /force 命 令 - 


2. 用 户 配置 的 应 用 时 机 

域 用 户 会 在 以 下 的 情况 下 应 用 GPO 的 用 户 配置 值 ; 

浊 用 户 登 录 时 会 自动 应 用 。 

匀 如 果 用 户 已 经 登录 的 话 ， 则 默认 会 每 隔 90~120 分 钟 之 间 自 动 应 用 一 次 。 不 论 策略 设 
置 值 是 否 发 生变 化 ， 都 会 每 隔 16 小 时 自动 应 用 一 次 安全 策略 。 

习 手动 应 用 : 到 域 成 员 计 算 机 上 打开 Windows PowerShell 窗 口 (或 命令 提示 符 ) 、 执 行 
gpupdate /target:user /force 命 令 - 

1. 执行 gpupdate /force 会 同时 应 用 计算 机 配置 与 用 户 配 置 。 


2. 部 分 策略 设置 可 能 需 计算 机 重新 启动 或 用 户 登录 才 生 效 ， 例 如 软件 安装 策略 与 文件 夹 
重 定向 策略 。 


4.2 ”策略 设置 实例 演练 


在 继续 解释 更 高 级 的 组 策略 功能 之 前 ， 为 了 有 一 个 比较 清楚 的 概念 ， 此 处 分 别 利用 两 个 
例子 来 练习 GPO 的 计算 机 配置 与 用 户 配置 中 的 策略 设置 。 


4.2.1 策略 设置 实例 演练 一 : 计算 机 配置 


系统 默认 是 只 有 某 些 组 〈 例 如 administrators) 内 的 用 户 ， 才 有 权限 在 扮演 域 控制 器 角色 
的 计算 机 上 登录 ， 而 普通 用 户 在 域 控制 器 上 登录 时 ， 屏 幕 上 会 出 现 如 图 4-2-1 所 示 的 无 法 登录 
的 警告 消息 ， 除 非 他 们 被 赋予 允许 本 地 登录 的 权限 。 
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图 42-1 


以 下 假设 要 开放 让 域 SAYMS 内 Domain Users 组 内 的 用 户 可 以 在 域 控制 器 上 登录 。 我 们 将 
通过 默认 的 Default Domain Controllers Policy GPO 来 设置 ， 也 就 是 要 让 这 些 用 户 在 域 控制 器 上 
拥有 允许 本 地 登录 的 权限 。 


1. 一 般 来 说 ， 域 控制 器 等 重要 的 服务 器 不 应 该 开放 普通 用 户 登录 。 
2 如果 要 在 成 员 服务 器 、Windows 10 等 非 域 控制 器 的 客户 端 计算 机 上 练习 的 话 ， 则 以 


下 步骤 可 省 略 ， 因 为 Domain Users 默 认 已 经 在 这 些 计算 机 上 拥有 允许 本 地 登录 的 权 
限 。 


STEP 各 。 请 到 域 控 制 器 上 利用 系统 管理 员 身 份 登录 。 

STEP 回 。 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 2 组 策略 管理 。 

STEP 如 图 4-2-2 所 示 【 展开 到 组 织 单位 Domain Controllers 纪 选 中 右 侧 的 Default Domain 
Controllers Policy 并 右 击 纺 编 辑 ] 。 


地 组 策 由 管理 
昌文 HR。 提 fEA) 下 看 罕 D(A) 得 上 (H) 
各 路 | 丰 四 | G| 目 三 


ET [Domain Controllers 
ee j 多 摘 99 组 希 梧 对象“ 明生 继承 全 各 
通过 
芯 羡 三 | | aas cpo 
国 Defeok Domain paiay ER 

、 司 pomein Cortrolers | | 

》 现 业 节 部 | | 

》 苔 旨 综 到 允 鲍 v| < 


图 42-2 


STEP 四 。 如 图 4-2-3 所 示 【 展开 计算 机 配置 策 略 仿 Windows 设 置 3 安 全 设置 2 本 地 策略 用 户 
权限 分 配 2 双 击 右 侧 的 允许 本 地 登录 ] 。 
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站 把 生硬 怪 理 将 入 器 FT 
半天 由， 汪 生 和 和 攻 
和 史 | 直 四 | 已 | 目 四 
司 Defeok Domain Controllers policy IDCTSAYMSL A PE 六 
Y 师 计算 W 本 可 Et 各 二 久 
生硬 二 没有 定义 
Wen aa 
和 AdministatorsBeckaup Oper- 
0 这 有 定义 
二 吕 本 ( 动 关 机 9 
7 呈 已 部 轩 的 打印 机 
到 祥生 2 
> 恒 人 > gr 
~ 司 Ra tocAt sERVICENETWORKS_ 
司 和 人 
Admiristators 
)》 本 去 人 远大 LocAL sERVICENETWORKS_ 
* 司 事件 B 志 党 Administrators 直 
1 ea 


图 423 


STEP 回 。 如 图 4-2.4 所 示 【 单 击 匡 疝 关 让 训 天 | 扩 钮 2 输入 或 选择 域 SAYMS 内 的 Domain Users 组 
单 击 两 次 辆 届 按 钮 】。 由 此 图 中 可 看 出 默认 只 有 Account Operators、Administrators 等 
组 才 拥 有 人 允许 本 地 登录 的 权限 。 


也 许 本 好 属 录 属性 ? X 


图 424 


完成 后 ， 必 须 等 这 个 策略 应 用 到 组 织 单位 Domain Controllers 内 的 域 控制 器 后 才 有 效 〈 见 
前 一 小 节 的 说 明 ) 。 等 应 用 完成 后 ， 就 可 以 利用 任何 一 个 域 用 户 账户 在 域 控制 器 上 登录 ， 以 
测试 允许 本 地 登录 功能 是 否 正常 。 
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IEED 


如 果 域 控制 器 是 利用 Hyper-V 搭 建 的 虚拟 机 ， 并 且 在 查看 处 勾 选 了 增强 会 话 ， 由 于 此 时 
是 采用 远程 桌面 连接 来 连接 虚拟 机 的 ， 因 此 请 先 利 用 Active Direetory 管 理 中 心 ( 或 
Acetive Directory 用 户 和 计算 机 ) 将 Domain Users 组 加 入 Remote Desktop Users 组 ， 并 执行 
gpeditmsc 开 放 让 Remote Desktop Users 组 具备 允许 通过 远程 桌面 服务 登录 的 权限 ( 计算 
机 配置 安 全 设置 忆 本 地 策略 用 户 权限 分 配 3 绑 ]， 在 出 晟 用 户 无 法 登录 


另外 如 果 域 内 有 多 人 台 域 控制 器 的 话 ， 由 于 策略 设置 默认 会 先 被 存储 到 扮演 PDC 模 拟 器 操 
作 主 机 角色 的 域 控制 器 〈 默 认 是 域 中 的 第 1 台 域 控制 器 ) ， 因 此 需要 等 待 这 些 策略 设置 被 复 


制 到 其 他 域 控制 器 ， 然 后 再 等 这 些 策略 设置 值 应 用 到 这 些 域 控制 器 。 


可 以 利用 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 3Active Direetory 用 户 和 计算 机 了 
选中 域名 并 右 击 3 操 作 主 机 3PDC 选 项 卡 ] 来 查看 扮演 PDC 模 拟 器 操作 主机 的 域 榨 制 器 。 


系统 可 以 利用 以 下 两 种 方式 来 将 PDC 模 拟 器 操作 主机 内 的 组 策略 设置 复制 到 其 他 域 控制 


器 : 


浊 自动 复制 : PDC 模 拟 器 操作 主机 默认 是 15 秒 后 会 自动 将 其 复制 出 去 ， 因 此 其 他 的 域 


控制 器 可 能 需要 等 15 秒 或 更 久 时 间 才 会 接收 到 此 设置 值 。 


沁 手动 复制 : 假设 PDC 模 拟 器 操作 主机 是 DC1， 而 我 们 要 将 组 策略 设置 手动 复制 到 域 
控制 器 DC2。 请 在 域 控 制 器 上 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 Active 
Direetory 站 点 和 服务 QSites23Default-First-Site-Name 人 Seryers 忆 展开 目标 域 控制 器 


(DC2 ) 3NTDS Settings 驴 选中 PDC 模 拟 器 揉 作 主 机 ( DC1 ) 并 右 击 纪 立即 复制 ] 


4.2.2 ”策略 设 置 实例 演练 三 : 用 户 配 置 


假设 域 sayms.local 内 有 一 个 组 织 单位 业务 部 ， 而 且 已 经 限制 他 们 需要 通过 企业 内 部 的 代 
理 服务 器 上 网 〈 代 理 服务 器 proxy server 的 设置 留待 后 面 说 明 ) ， 而 为 了 避免 用 户 私 自 更 改 这 


些 设置 值 ， 因 此 以 下 要 将 其 Internet 选 项 中 连接 选项 卡 内 更 改 Proxy 的 功能 禁用 。 


由 于 当前 并 没有 任何 GPO 被 连接 到 组 织 单位 业务 部 ， 因 此 我 们 将 先 建立 一 个 连接 到 业务 


部 的 GPO， 然 后 通过 修改 此 GPO 设 置 值 的 方式 来 达到 目的 。 


STEP 税 。 请 到 域 控 制 器 上 利用 系统 管理 员 身 份 登录 。 
STEP 回 。 单 击 左下 角 开 始 图 标 田 2Windows 管理 工具 忆 组 策略 管理 。 


STEP 回 。 如 图 4-2-5 所 示 【 展开 到 组 织 单位 业务 部 3 选中 业务 部 并 右 击 在 这 个 域 中 创建 GPO 并 


在 此 处 链接 】 。 
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怠 组 折 本 车 理 0 
对 文 #D 到 fEA) 下 看 MI 机 Do WRH) 全 和 
和 哆 | 直下 | 白 | 居 国 丰 | 目 驯 


图 42-5 


也 可 以 先 通过 【 选中 组 策略 对 象 并 右 击 32 新建 】 的 方法 来 建立 新 GPO ， 然 后 再 通 
过 【选中 组 织 单位 业务 部 并 右 击 纪 链接 现 有 GPO 】 的 方法 来 将 上 述 GPO 连 接 到 组 
织 单位 业务 部 。 


_ 荐 要 备份 或 还 原 GPO 的 话 ; 【选中 组 第 略 对 象 并 右 击 人 备份 或 从 备份 还 原 ] 。 


STEP 四 。 在 图 4-.2-6 中 为 此 GPO 命 名 ( 例如 测试 用 的 GPO ) 后 单 击 项 二 过 钮 。 


提亲 建 GPO 区 


的 GPO 


杜 Starter GPO(S}: 
功 可 


图 426 
STEP 回 如 图 4-2-7 所 示 选 中 这 个 新 建 的 GPO 并 右 击 3 编辑 。 
志 旨 庆 归 居 理 一 X 


| 四 
和 中 | 直 吧 | X 三 | 目 全 


STEP 回 ”如 图 4-2-8 所 示 [ 展开 用 户 配 置 纺 策略 纺 管 理 模板 2Windows 组 件 23Internet Explorer 了 3 
将 右 仙 阻止 更 改 代理 设置 改 为 已 启用 】。 
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STEP 加 
STEP 回 


本 坦 和 中 管理 过 声 器 

文 必 们 地 fFIA) 查 夏 )。 需 了 (HI) 

和 中 | 十 曾 | 瑟 | 目 四 1 了 

本 Ri9GPO [DCTSAYMSLOCAL 第 同人 


请 利用 业务 部 内 的 任何 一 位 用 户 账户 到 任何 一 人 台 域 成 员 计算 机 上 登录 。 
按 田 + 国 键 2 输入 control 后 按 国 辆 键 2 网 络 和 Internet3Internet 选 项 3 如 图 4-2-9 所 示 


单 击 连接 选项 卡 下 的 是 吴山 油 哺 扩 钮 ， 从 前 景 图 


品 


也 可 以 通过 【 单 击 左下 角 开 始 图 标 田 3 单 击 设置 


知 无 法 更 改 这 些 设置 。Windows 10 


方法 来 查看 ， 如 图 4-2-10 所 示 。 


标 国 Q 网 络 和 Internet 网 2 代理 】 的 


为 LAN 使 用 代理 邮 务 器 (这 些 设 秆 不 用 于 类 号 或 VPN 连接 100 


人 BE 三 BUD: | 可 


第 4 章 利用 组 策 赂 管理 用 户 工作 环境 | 


| 二 1 
有 @ 顷 代理 
看 孩 设置 

| 手动 设置 代理 

| Snena Fiona 这 些 设 村 不 适用 于 VPN 
| 号 后 


口 X 


而 WLAN 


怀 RE 网 


4.3 ”首选 项 设置 实例 演练 


首选 项 设置 并 非 强制 性 的 ， 客 户 端 可 自行 更 改 设置 值 ， 因 此 它 适 合用 来 当 作 默认 值 。 


本 351 首选 项 设置 实例 演练 一 2 


我 们 要 让 位 于 组 织 单位 业务 部 内 的 用 户 Peter 登 录 时 ， 其 驱动 器 号 Z 会 自动 连接 到 
Ndclvtools 共 享 文件 夹 ， 不 过 同样 是 位 于 业务 部 内 的 其 他 用 户 登 录 时 不 会 有 Z 磁 盘 。 我 们 要 利 
用 前 面 所 建立 的 测试 用 的 GPO 来 练习 。 


STEP 辐 
STEP 


STEP 
STEP 四 


请 到 域 控制 器 dc1 上 利用 系统 管理 员 身份 登录 。 

打开 文件 资源 管理 器 、 建 立 文件 夹 tools， 并 将 其 设置 为 共享 文件 夹 ， 然 后 为 Everyone 
开放 读 取 / 写 入 的 共享 权限 。 

单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 纺 组 策略 管理 。 

在 图 4-3-1 中 选中 组 织 单位 业务 部 之 下 的 测试 用 的 GPO 并 右 击 2 编辑 。 
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最 组 全 内 理 一 虽 xX 
最 文 HD 各 fFA) 查看 W) 窗 DW) 帮助 (H) 四 
和 中 | 赴 四 | 其 双 | 目 可 


图 43-1 
STEP 回 。” 如 图 4-3-2 所 示 展 开 用 户 配置 3 首选 项 23Windows 设 置 迟 选中 驱动 器 映射 扩展 项 并 右 击 


新建 23 映 射 驱动 器 。 


从 合理 出 - 日 关 
3PA RH 
由 二 信和 白 | 


在 Windows 设 置 之 下 的 应 用 程序 、 驱动 器 映射 、: 环境 等 被 称 为 扩展 ( extension ) 。 


STEP 回 ”在 图 4-3-3 中 的 操作 处 选择 更 新 、 位 置 处 输入 共享 文件 来 路 径 \dcl\ tools， 使 用 Z 磁 盘 来 
连接 此 共享 文件 夹 ， 勾 选 重新 连接 以 便 客户 端 每 次 登录 时 都 会 自动 利用 Z 磁 盘 来 连 
接 。 其 中 的 操作 可 以 有 以 下 的 选择 ; 


匀 创建 : 会 在 客户 端 计算 机 建立 用 来 连接 此 共享 文件 夹 的 Z 磁 盘 。 

浊 替换 : 客户 端 如 果 已 存在 网 络 驱动 器 Z， 则 将 其 删除 后 改 以 此 处 的 设置 取代 原来 的 Z: 
磁盘 。 如 果 客 户 端 不 存在 Z 磁 盘 的 话 ， 则 新 建 。 

当 更 新 : 修改 客户 端的 Z 磁 盘 设 置 ， 例 如 修改 客户 端 连接 共享 文件 夹 时 所 使 用 的 用 户 账 
户 与 密码 。 如 果 客 户 端 不 存在 Z 磁 盘 的 话 ， 则 新 建 。 此 处 我 们 选择 默认 的 更 新 。 

忆 删除 ; 删除 客户 端的 Z 磁 盘 。 


STEP 


站 
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图 433 
单 击 图 4-3-4 中 常用 选项 卡 、 如 图 所 示 进 行 勾 选 ; 


如 果 发 生 错误 ， 则 停止 处 理 该 扩展 中 的 项 目 : 如 果 在 了 驱动 器 映射 扩展 内 有 多 个 设置 
项 目的 话 ， 则 默认 是 当 系统 在 处 理 本 项 目 时 ， 如 果 发 生 错误 ， 它 仍然 会 继续 处 理 下 
一 个 项 目 ， 但 如 果 义 选 此 选项 的 话 ， 它 就 会 停止 ， 不 再 继续 处 理 下 一 个 项 目 - 

在 登录 用 户 的 安全 上 下 文中 运行 (用 户 策略 选项 ) : 客户 端 CSE 默 认 是 利用 本 地 系 
统 账户 身份 来 处 理 首选 项 设置 的 项 目 ， 这 使 得 CSE 只 能 访问 可 供 本 地 计算 机 访问 的 
环境 变量 与 系统 资源 ， 而 此 选项 可 让 CSE 改 用 用 户 的 登录 身份 来 处 理 首选 项 的 项 
目 ， 如 此 CSE 就 可 以 访问 本 地 计算 机 无 权 访 问 的 资源 或 用 户 环 境 变量 ， 例 如 此 处 利 
用 网 络 驱动 器 Z 来 连接 网 络 共 享 文件 卖 Ndclvtools， 就 需要 勾 选 此 选项 。 

当 不 再 应 用 项 目 时 删除 此 项 目 : 当 GPO 被 删除 后 ， 客 户 端 计 算 机 内 与 该 GPO 内 繁 略 
设置 有 关 的 设置 都 会 被 删除 ， 然 而 与 首选 项 有 关 的 设置 仍然 会 被 保留 ， 例 如 此 处 的 
网 络 驱动 器 Z 仍 然 会 被 保留 。 如 果 义 选 此 选项 的 话 ， 则 与 此 首选 项 有 关 的 设置 会 被 删 
除 。 

应 用 一 次 且 不 重新 应 用 : 客户 端 计 算 机 默认 会 每 隔 90 分 钟 重 新 应 用 GPO 内 的 首选 项 
设置 ， 因 此 如 果 用 户 自 行 更 改 设置 的 话 ， 则 重新 应 用 后 又 会 恢复 为 首选 项 内 的 设置 
值 ， 如 果 希 望 用 户 能 够 保留 自 定义 的 设置 值 的 话 ， 请 为 选 此 选项 ， 此 时 它 只 会 应 用 
一 次 。 


图 434 
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冯 项 目 级 别 目标 ; 它 让 你 针对 每 一 个 首选 项 项 目 来 决定 此 项 目的 应 用 目标 ， 例 如 可 以 
选择 将 其 只 应 用 到 特定 用 户 或 特定 Windows 系 统 。 本 示例 只 是 要 将 设置 应 用 到 组 织 
单位 业务 部 内 的 单一 用 户 Peter， 故 需 为 选 此 选项 。 


STEP 回 


单 击 前 面 图 4-3-4 中 常用 选项 卡 下 的 甘 重 扶 钮 ， 以 便 将 此 项 目的 应 用 对 象 指定 到 用 户 


Peter， 换 句 话说 ， 此 项 目的 目标 为 用 户 Peter。 


STEP 回 


在 图 4-3-5 中 【 单 击 左上 角 的 新 建 项 目 3 选 择 使 用 户 3 在 用 户 处 浏览 或 选择 将 此 项 目 应 


用 到 域 SAYMS 的 使 用 者 Peter 后 ， 单 击 功 辐 按 钮 ] 。 


了 了 BE 


和 


8 
上 


半 量 昌 
引 


Janaato | =nssc -| - 
| 旬 择 伯 奸 项目 -位 要 可 条 导 一 个 目标 项 目 
| 


二 | 下 届 -> | 各 mao 


昌 区 


人 


噩 区 


La 


[TXT IE TIT LT 


了 


图 43-5 


STEP E 四 。 回 到 新 建 驱动 器 属性 界面 时 单 击 闫 中 扶 钮 。 


STEP 


虽 


图 4-3-6 右 侧 为 刚才 建立 、 利 用 Z 磁 盘 来 连接 \Wdcl\Tools 共 享 文件 夹 的 设置 ， 这 样 的 一 个 
设置 被 称 为 一 个 项 目 (item ) 


0 
六 了 人 尖 fEA 本 看 MI HH 


如 中 直 呈 了 二 口 |X 吾 六 云 栽 | 百 加 |@y 


贺 io 
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STEP 加 到 任何 一 台 域 成 员 计算 机 上 利用 组 织 单位 业务 部 内 的 用 户 账户 Peter 登 录 、 打 开 文 件 资 
源 管 理 器 ， 之 后 将 如 图 4-3-7 所 示 看 到 其 Z 磁 盘 已 经 自动 连接 到 我 们 指定 的 共享 文件 
来 。 但 是 如 果 利 用 组 织 单位 业务 部 内 的 其 他 用 户 账户 登录 的 话 ， 就 不 会 有 Z 磁 盘 。 


到 双 硬 = | ta =- a xx] 
国 国 :rs 9 
* 个 厂 ，x ~ 避 忆 
一 设备 和 驱动 三 (4) 引 
卉 车 0 癌 
本 地 珊 古 (C] 
Eeeras 到。 RE 一 
| am 568 有 用 其 厅 呈 
新 0 知 
本 RE 一 
杰 wiiopc 


WE 


7 G8 本 用 共 2596B 
-网络 位 置 (1) 


ET 
本 28G6 有 半 需 友 


图 437 


以 下 假设 要 让 组 织 单位 业务 部 内 的 所 有 用 户 ， 必 须 通过 企业 内 部 的 代理 服务 器 〈proxy 
server) 上 网 。 假 设 代理 服 务 器 的 网 址 为 proxy.sayms.local、 端 口号 为 8080、 客 户 端 所 使 用 的 
浏览 器 为 Internet Explorer 11 或 10。 我 们 要 利用 前 面 所 建立 的 测试 用 的 GPO 来 练习 。 


STEP 贺 请 到 域 控制 器 dc1 上 利用 系统 管理 员 身份 登录 。 

STEP 回 。 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 人 组 策略 管理 。 

STEP 回 。 在 图 4-3-8 中 选中 组 织 单位 业务 部 之 下 的 测试 用 的 GPO 并 右 击 编 辑 。 
| 总 本 全 


性 XRD ma 者 要 本 DiW， 有 0 
和 路 | 看 而 | 其 志 | 目 加 


图 438 


STEP 四 。 如 图 4-3-9 所 示 展 开 【 用 户 配置 首 选项 3 控 制 面板 设置 ] ， 然 后 【 选中 Internet 设 置 
右 击 2 新 建 3Internet Explorer 10 】 ( 也 适用 于 Intermet Explorer 11、Microsoft Edge 客 
户 端 ) 。 
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| aas 本 
| RON 站 
| 各 史 | 直 咽 | 下 日 | 四 区 坊 | 目 加 | 思 @+ 


图 439 
STEP 回 。 如 图 4-3-10 所 示 单 击 连接 选项 卡 下 的 区 壮 疯 沈 王 以 钮 。 


亲 奸 ntemet bplorer 10 性 性 藉 


si 


似 moancrmaa szwa IE 


图 43-10 
STEP 回 ”如 图 4-3-11 所 示 勾 选 后 【 输入 代理 服务 器 的 网 址 proxy.sayms.local、 端 口号 码 8080 按 
国 键 2> 单 击 两 次 俩 全 按 钮 结束 设置 ] 。 


需要 按 国 键 来 启用 此 选项 卡 下 的 所 有 设置 ( 设置 项 目下 代表 禁用 的 红色 底线 会 转变 成 绿 
色 ) ; 按 国 刍 可 停 用 此 选项 卡 下 的 所 有 设置 ， 如 果 要 启用 当前 所 在 的 项 目的 话 ， 请 按 
国 键 、 禁 用 请 按 园 键 。 
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图 43-11 
STEP 园 请 利用 业务 部 内 任何 一 位 用 户 账户 到 任何 一 台 域 成 员 计算 机 登录 。 
STEP 回 。 技 瑟 | 国 键 2 输入 control 后 按 回 辆 键 2 网 络 和 Intemet 人 Intemet 选 项 人 如 图 4.3-12 所 示 单 
击 连接 选项 卡 下 的 仿 喘 郧 庙 训 按钮 ， 从 前 景 图 可 知 其 Proxy 服 务 器 被 指定 到 我 们 所 设 
置 的 proxy.sayms.local、 端 口 为 8080， 而 且 无 法 更 改 这些 设 置 ( 这 是 之 前 练习 的 策略 设 
置 的 结果 。Windows 10 的 系统 也 可 以 通过 【 单 击 左下 角 开 始 图 标 田 3 单 击 设置 图 标 
国 过 网络 和 Internet2Proxy 】 的 方法 来 查看 ， 如 图 4-3-13 所 示 。 


5 peqaicmor' ao EGG 


二 雹 址 不 全 用 代 理 吕 务 到 (8) 
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4.4 组 策略 的 处 理 规 则 


域 成 员 计算 机 在 处 理 《〈 应 用 ) 组 策略 时 有 一 定 的 程序 与 规则 ， 系 统管 理 员 必 须 了 解 它 
们 ， 才 能 够 通过 组 策略 来 充分 地 掌控 用 户 与 计算 机 的 环境 。 


4 直 和 一般 的 继承 与 处 理 规则 过 一 Si 
组 策略 设置 是 有 继承 性 的 ， 也 有 一 定 的 处 理 规则 ; 


间 如果 在 高 层 父 容器 的 某 个 策略 被 设置 ， 但 是 在 其 下 低层 子 容器 并 未 设置 此 策略 的 
话 ， 则 低层 子 容器 会 继承 高 层 父 容器 的 这 个 策略 设置 值 。 
以 图 4-4-1 为 例 ， 如 果 位 于 高 层 的 域 sayms.local 的 GPO 内 ， 其 从 [开始 ] 菜单 中 删除 [ 运 
行 ] 菜单 策略 被 设置 为 已 启用 ， 但 位 于 低层 的 组 织 单位 业务 部 的 这 个 策略 被 设置 为 没 
有 定义 的 话 ， 则 业务 部 会 继承 sayms.local 的 设置 值 ， 也 就 是 业务 部 的 从 [开始 ] 菜单 
中 删除 [运行 ] 菜单 策略 是 已 启用 。 

目 Acive pireaory 用 产 和 计算 机 > 已 区 


文 必 站 所 fg 丙 看 MI。 且 (HH _ _ 
和 唤 | 证 珈 | 帮 白 | 其 国 区 忆 | 加 四 | 翌 包 色 了 了 昌 也 
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如 果 组 织 单位 业务 部 之 下 还 有 其 他 子 容器 ， 并 且 它们 的 这 些 策略 也 被 设置 为 未 配置 
的 话 ， 则 它们 也 会 继承 这 个 设置 值 。 

久 如 果 在 低层 子 容器 内 的 某 个 策略 被 设置 的 话 ， 则 此 设置 值 默认 会 覆盖 由 其 高 层 父 容 

器 所 继承 下 来 的 设置 值 。 
以 图 4-4-1 为 例 ， 如 果 位 于 高 层 的 域 sayms.local 的 GPO 内 ， 其 从 [开始 ] 菜单 中 删除 [ 运 
行 | 菜单 策略 被 设置 为 已 启用 ， 但 是 位 于 低层 的 组 织 单 位 业务 部 的 这 个 策略 被 设置 为 
已 禁用 ， 则 业务 部 会 覆盖 sayms.local 的 设置 值 ， 也 就 是 对 组 织 单 位 业务 部 来 说 ， 其 
从 [开始 ] 莱 单 中 删除 | 运行 ] 菜单 策略 是 已 禁用 ， 

立 组 策略 设置 是 有 累加 性 的 ， 例 如 如 果 在 组 织 单 位 业务 部 内 建立 了 GPO， 同 时 在 站 
点 、 域 内 也 都 有 GPO， 则 站 点 、 域 与 组 织 单位 内 的 所 有 GPO 设 置 值 都 会 被 累加 起 来 
作为 组 织 单位 业务 部 的 最 后 有 效 设置 值 。 

但 如 果 站 点 、 域 与 组 织 单位 业务 部 之 间 的 GPO 设 置 发 生 冲 突 时， 则 优先 级 为 : 组 织 
单位 的 GPO 最 优先 、 域 的 GPO 次 之 、 站 点 的 GPO 优 先 权 最低 。 

外 如 果 组 策略 内 的 计算 机 配置 与 用 户 配置 发 生 冲突 的 话 ， 则 以 计算 机 配置 优先 。 

沁 如 果 将 多 个 GPO 连 接 到 同一 处 ， 则 所 有 这 些 GPO 的 设置 会 被 累加 起 来 作为 最 后 的 有 
效 设 置 值 ， 但 如 果 这 些 GPO 的 设置 相互 冲突 时 ， 则 以 连接 顺序 在 前 面 的 GPO 设 置 优 
先 ， 例 如 图 4-4-2 中 的 测试 用 的 GPO 的 设置 优先 于 防 病毒 软件 策略 。 


| 王 Eame 本 
基 mm WIN 于， ED wmH - “ 间 
和 和 员 | 去 而 三 | 目下 

FT 是 正 忆 


FED 了 


本 地 计算 机 策略 的 优先 级 最 低 ， 也 就 是 说 如 果 本 地 计算 机 策略 内 的 设置 值 与 站 点 、 域 或 
组 织 单位 的 设置 冲突 时 ， 则 以 站 点 、 域 或 组 织 单位 的 设置 优先 。 


4.4.2 ”例外 的 继承 设置 
除了 一 般 的 继承 与 处 理 规则 外 ， 还 可 以 设置 以 下 的 例外 规则 。 


1. 阻止 继承 策略 
可 以 设置 让 子 容器 不 要 继承 父 容 器 的 设置 ， 例 如 若 不 要 让 组 织 单位 业务 部 继承 域 
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sayms.local 的 策略 设置 的 话 : 请 【如 图 4-4-3 所 示 选 中 业务 部 并 右 击 纺 阻止 继承 】， 此 时 组 织 
单位 业务 部 将 直接 以 自己 的 GPO 设 置 为 其 设置 值 ， 若 其 GPO 内 的 设置 为 未 配置 的 话 ， 则 采用 
默认 值 。 


故 组 综 到 各 理 一 已 X 
本 于 上 
如 中 | 直面 | 自 | 其 国 避 | 加 四 


2， 强 制 继承 策略 


可 以 通过 父 容器 来 强制 其 下 子 容器 必须 继承 父 容器 的 GPO 设 置 ， 不 论 子 容器 是 否 选用 了 
阻止 继承 。 例 如 若 我 们 在 图 4-4-4 中 域 sayms.local 之 下 建立 了 一 个 GPO 〈 企 业 安 全 防护 策 
略 ) ， 以 便 通过 它 来 设置 域内 所 有 计算 机 的 安全 措施 : 【选中 此 策略 并 右 击 强 制 】 来 强制 
其 下 的 所 有 组 织 单位 都 必须 继承 此 策略 。 


组 入 路 鳄 理 -- 口 X 
昌文 kD_ 提 EA 瑟 是 W WDW go | 


3.， 往 选 组 策略 设置 


以 组 织 单位 业务 部 为 例 ， 当 针对 此 组 织 单位 建立 GPO 后 ， 此 GPO 的 设置 会 被 应 用 到 这 个 
组 织 单位 内 的 所 有 用 户 与 计算 机 ， 如 图 4-4-5 所 示 默 认 是 被 应 用 到 Authenticated Users 组 〈 身 份 
经 过 确认 的 用 户 ) 。 
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疡 组 全 栈 管理 一 口 
局 ha Wo = 
和 路 | 十 嘻 | 让 | 目 四 


图 445 

不 过 也 可 以 让 此 GPO 不 要 应 用 到 特定 的 用 户 或 计算 机 ， 例 如 此 GPO 对 所 有 业务 部 人 员 的 
工作 环境 做 了 某 些 限制 ， 但 是 却 不 想 将 此 限制 加 在 业务 部 经 理 上 。 位 于 组 织 单位 内 的 用 户 与 
计算 机 ， 默 认 对 该 组 织 单位 的 GPO 都 具有 读 取 与 应 用 组 策略 权限 ， 可 以 【如 图 4-4-6 所 示 单 击 
GPO“〔 例 如 测试 用 的 GPO ) 2 单 击 委派 选项 卡 3 单 击 杆 现 护 钮 3 选择 Authenticated Users】 
进行 查看 。 


9GPO 六 而 加 
二 


[ 
| 咸 CREATOR OWNER 四 ] 


assrev 
| 耳 poman wanire Gamaapomain ama 
了 nerprie hdnre gasureerpree doml 


FT 一 
所 nm ar BDm 0 
中 | 十 四 | S| 占 圈 


如 果 不 想 将 此 GPO 的 设置 应 用 到 组 织 单位 业务 部 内 的 用 户 Peter 的 话 : 【请 单 击 图 4-4-6 中 
的 车 员 按 钮 2 选择 用 户 Peter2 如 图 4-4-7 所 示 将 Peter 的 应 用 组 策略 权限 设置 为 拒绝 即 可 】。 
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测试 用 的 GPO 安全 设 千 X 
全 
狂 或 用 户 名 (G). 


届 SEE | 
训 Domam JRSTSAYMSV\Domain Admins) 攻 


皇 Enterprise Admins (SAYMSVEnterprise Admins) | 
襄 ENTERPRISE DoMAIN CONTROLLERS 有 


4.4.3， 特 殊 的 处 理 设置 


这 些 特殊 处 理 设置 包含 强制 处 理 GPO、 慢 速 连接 的 GPO 处 理 、 回 送 处 理 模式 与 禁用 
GPO 等 。 


1 强制 处 理 GPO 


客户 端 计算 机 在 处 理 组 策略 的 设置 时 ， 会 将 不 同类 型 的 策略 交 给 不 同 的 DLL (Dynamic- 
Link Libraries) 来 负责 处 理 与 应 用 ， 这 些 DLL 被 称 为 Client-Side Extension 《CSE) 。 不 过 CSE 
在 处 理 其 所 负责 的 策略 时 ， 只 会 处 理 上 次 处 理 过 后 的 最 新 改动 策略 ， 这 种 做 法 虽然 可 以 提高 
处 理 策略 的 效率 ， 但 有 时 候 却 无 法 达到 所 期 望 的 目标 ， 例 如 在 GPO 内 对 用 户 做 了 某 项 限制 ， 
在 用 户 因为 这 个 策略 而 受到 限制 之 后 ， 如 果 用 户 自 行将 此 限制 删除 ， 则 当下 一 次 用 户 计算 机 
在 应 用 策略 时 ， 客 户 端的 CSE 会 因为 GPO 内 的 策略 设置 值 并 没有 变动 而 不 处 理 此 策略 ， 因 而 
无 法 自动 将 用 户 自行 更 改 的 设置 改 回来 。 

解决 方法 是 强制 要 求 客户 端 CSE 一 定 要 处 理 指定 的 策略 ， 不 论 该 策略 设置 值 是 否 发 生变 
化 。 可 以 针对 不 同 策略 来 个 别 设置 。 举 例 来 说 ， 假 设 要 强制 组 织 单位 业务 部 内 所 有 计算 机 必 
须 处 理 〈 应 用 ) 软件 安装 策略 的 话 : 在 测试 用 的 GPO 的 设置 界面 中 选用 【计算 机 配置 2 策略 
2 管理 模板 系统 己 如 图 4-4-8 所 示 双 击 组 策略 右 侧 的 配置 软件 安装 策略 处 理 纪 选择 已 启用 忆 
勾 选 即使 尚未 更 改组 策略 对 象 也 进行 处 理 3 单 击 蜂 荆 近 钮 】 ， 
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只 要 策略 名 称 最 后 两 个 字 是 处 理 ( processing ) 的 策略 设置 都 可 以 做 类 似 的 更 改 。 


如 果 要 手动 让 计算 机 来 强制 处 理 〈 应 用 ) 所 有 计算 机 策略 设置 的 话 ， 可 以 在 计算 机 上 执 
行 gpupdate /target:computer /force 命 令 ， 如 果 是 用 户 策略 设置 的 话 ， 可 以 执行 gpupdate 
/target:user /force 命 令 ; 或 利用 gpupdate /force 命 令 来 同时 强制 处 理 计算 机 与 用 户 设置 。 


吕 人 
[Fe 、^ 
Keroroeeae》 | rommammapmoaseoanaramnaa om 
人 半生， 有 Active yector 十 吉 5 
图 4.48 


2.， 慢 速 连接 的 GPO 处 理 


可 以 让 域 成 员 计算 机 自动 检测 其 与 域 控制 器 之 间 的 连接 速度 是 否 太 慢 ， 如 果 是 的 话 ， 就 
不 要 应 用 位 于 域 控制 器 内 指定 的 组 策略 设置 。 除 了 图 4-4-9 中 配置 注册 表 策 略 处 理 与 配置 安全 
策略 处 理 这 两 个 策略 之 外 《〈 无 论 是 否 慢 速 连 接 都 会 应 用 ) ， 其 他 策略 都 可 以 设置 为 慢 速 连接 
不 应 用 。 


让 组 策 时 各 理 管 短 吉 ~ 日 % 
文 #KP 所 YIA) 查看 帮助 (H) 
和 路 | 外 加 | 杞 | 回 四 | 了 
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假设 要 求 组 织 单位 业务 部 内 的 每 一 侣 计算 机 都 要 自动 检测 是 否 为 慢 速 连接 :请 在 测试 用 
的 GPO 的 计算 机 配置 界面 中 ， 如 图 4-4-10 所 示 【 双 击 组 策略 右 侧 的 配置 组 策略 慢 速 链接 检测 
3 选择 已 启用 忆 在 连接 速度 处 输入 慢 速 连接 的 定义 值 3 单 击 灾 弹 按钮 】， 图 中 我 们 设置 只 要 
连接 速度 低 于 500 Kbps， 就 视 为 慢 速 。 如 果 禁 用 或 未 配置 此 策略 的 话 ， 则 默认 也 是 将 低 于 500 
Kbps 视 为 慢 速 连接 。 


ET 上 | 
文 fD “到 (IN 二 涛 MI， 则 动 H) 
和 中 | 当面 | 轧 | 加 各 | 了 


接 下 来 假设 组 织 单位 业务 部 内 的 每 一 台 计 算 机 与 域 控制 器 之 间 即 使 是 慢 速 连接 ， 也 需要 
应 用 软件 安装 策略 处 理 策略 ， 其 设置 方法 与 图 4-4-8 相 同 ， 不 过 此 时 需 在 前 景 图 中 勾 选 允许 通 
过 慢 速 网 络 连接 进行 处 理 。 


3， 环 回 处 理 模式 


一 般 来 说 ， 系 统 会 根据 用 户 或 计算 机 账户 在 AD DS 内 的 位 置 ， 来 决定 如 何 将 GPO 设 置 值 
应 用 到 用 户 或 计算 机 。 例 如 如 果 服 务 器 SERVER1 的 计算 机 账户 位 于 组 织 单位 服务 器 内 ， 此 组 
织 单 位 有 一 个 名 称 为 服务 器 GPO 的 GPO， 而 用 户 Jackie 的 用 户 账户 位 于 组 织 单 位 业务 部 内 ， 
此 组 织 单位 有 一 个 名 称 为 测试 用 的 GPO 的 GPO， 则 当 用 户 Jackie 在 SERVERL 上 登录 域 时 ， 在 
正常 的 情况 下 ， 他 的 用 户 环境 是 由 测试 用 的 GPO 的 用 户 配 置 来 决定 的 ， 不 过 他 的 计算 机 环境 
是 由 服务 器 GPO 的 计算 机 配置 来 确定 的 。 

然而 如 果 在 测试 用 的 GPO 的 用 户 配 置 内 ， 设 置 让 组 织 单位 业务 部 内 的 用 户 登 录 时 ， 就 自 
动 为 他 们 安装 某 个 应 用 程序 的 话 ， 则 这 些 用 户 到 任何 一 人 台 域 成 员 计算 机 上 《包含 SERVER1) 
登录 时 ， 系 统 将 为 他 们 在 这 侣 计算 机 内 安装 此 应 用 程序 ， 但 是 却 不 想 为 他 们 在 这 从重 要 的 服 
务 器 SERVER1I 内 安装 应 用 程序 ， 此 时 要 如 何 来 解决 这 个 问题 呢 ? 可 以 启用 环 回 处 理 模式 
(loopback processing mode) 。 


如 果 在 服务 器 GPO 启 用 了 环 回 处 理 模式 ， 则 不 论 用 户 账户 是 位 于 何 处 ， 只 要 用 户 是 利用 
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组 织 单位 服务 器 内 的 计算 机 《包含 服务 器 SERVER1) 登录 ， 则 用 户 的 工作 环境 可 改 由 服务 器 
GPO 的 用 户 配 置 来 确定 ， 这 样 Jackie 到 服务 器 SERVER1 登 录 时 ， 系 统 就 不 会 奉 他 安装 应 用 程 
序 。 环 回 处 理 模 式 分 为 两 种 模式 
匀 替换 模式 : 直接 改 由 服务 器 GPO 的 用 户 配置 来 确定 用 户 的 环境 ， 而 息 略 测试 用 的 
GPO 的 用 户 配 置 。 
外 合并 模式 : 先 处 理 测试 用 的 GPO 的 用 户 配置 ， 再 处 理 服务 器 GPO 的 用 户 配置 ， 如 果 
两 者 发 生 冲突 ， 则 以 服务 器 GPO 的 用 户 配 置 优先 . 
假设 我 们 要 在 服务 器 GPO 内 启用 环 回 处 理 模式 : 请 在 服务 器 GPO 的 计算 机 配置 界面 中 


【如 图 4-4-11 所 示 双 击 组 策略 右 侧 的 配置 用 户 组 策略 环 回 处 理 模式 选 择 已 启用 3 在 模式 处 选 
择 赫 换 或 合并 】-。 


和 史 | 直 加 | 忌 | 目 加 | 了 


4. 禁用 GPO 


若 有 需要 的 话 ， 可 以 将 整个 GPO 禁 用 ， 或 单独 将 GPO 的 计算 机 配置 或 用 户 配置 禁用 。 以 
测试 用 的 GPO 为 例 说 明 : 


站 如 果 要 将 整个 GPO 禁 用 的 话 ， 请 如 图 4-4-12 所 示 选 中 测试 用 的 GPO 并 右 击 ， 然 后 取 
消 勾 选 已 启用 链接 . 
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进 组 人 巾 管理 一 口 X 
本 NM ER EM -一 - = - EL 
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匀 如 果 要 将 GPO 的 计算 机 配置 或 用 户 配置 单独 禁用 的 话 : 先进 入 测试 用 的 GPO 的 编辑 
界面 3 如 图 4-4-13 所 示 单 击 测试 用 的 GPO 人 3 单 击 上 方 属性 图 标 卫 匀 选 基 用 计算 机 配 时 
设置 或 茜 用 用 户 配置 设置 。 


图 4413 


4.4.4 “更改 管理 GPO 的 域 控制 需 


当 新 增 、 修 改 或 删除 组 策略 设置 时 ， 这 些 改动 默认 先 被 存储 到 扮演 PDC 模 拟 器 操作 主机 
角色 的 域 控制 器 ， 然 后 再 由 它 将 其 复制 到 其 他 域 控 制 器 ， 域 成 员 计算 机 再 通过 域 控制 器 来 应 
用 这 些 策略 。 

但 如 果 系 统管 理 员 在 上 海 ， 可 是 PDC 模 拟 器 操作 主机 却 在 远程 的 北京 ， 此 时 上 海 的 系统 


图 ;2 
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管理 员 会 希望 其 针对 上 海员 工 所 设置 的 组 策略 ， 能 够 直接 存储 到 位 于 上 海 的 域 控 制 器 ， 以 便 
上 海 的 用 户 与 计算 机 能 够 通过 这 人 台 域 控制 器 来 快速 应 用 这 些 策略 。 

可 以 通过 DC 选项 与 策略 设置 两 种 方式 来 将 管理 GPO 的 域 控 制 器 从 PDC 模 拟 器 操作 主机 
更 改 为 其 他 域 控制 器 : 


立 利用 DC 选项 : 假设 供 上 海 分 公司 使 用 的 GPO 为 上 海 分 公司 专用 GPO， 则 请 进入 编辑 
此 GPO 的 界面 (组 策略 对 稍 编 辑 器 界面 ) ， 然 后 如 图 4-4-14 所 示 【 单 击 上 海 分 公司 
吾 用 GPO 了 点 选 查看 菜单 忆 3DC 选 项 驴 在 前 景 图 中 选择 要 用 来 管理 组 策略 的 域 控制 
器 〗。 图 中 选择 域 控制 器 的 选项 有 以 下 三 种 


图 4.4-14 


具有 PDC 模拟 器 操作 主机 令 牌 的 域 控制 器 : 也 就 是 使 用 PDC 横 拟 器 操作 主机 ， 这 

是 默认 值 ， 也 是 建议 值 。 

Aetive Directory 管 理 单元 使 用 的 域 控制 器 : 当 系统 管理 员 执 行 组 策略 对 象 编辑 器 

时 ， 此 组 策略 对 象 编辑 器 所 连接 的 域 控 制 器 就 是 我 们 要 选用 的 域 控制 器 。 

国 使 用 任何 可 用 的 域 控制 器 : 此 选项 让 组 策略 对 象 编辑 器 可 以 任意 挑选 一 台 域 控制 
器 。 

沁 利用 策略 设置 : 假设 要 针对 上 海 系统 管理 员 来 设置 。 我 们 需要 针对 其 用 户 账户 所 在 
的 组 织 单 位 来 设置 ; 如 图 4-4-15 所 示 进 入 编辑 此 组 织 单 位 的 GPO 界 面 (组 策略 对 象 纺 
辑 器 界面 ) 后 ， 双 击 右 侧 的 配置 组 策略 域 控制 器 选择 ， 然 后 如 图 所 示 来 选择 域 控 制 
器 ， 图 中 的 选项 说 明 同上 ， 其 中 主 域 控制 器 就 是 PDC 横 拟 器 操作 主机 。 
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图 4415 


4.4.5 ”更 改组 策略 的 应 用 间隔 时 间 


前 面 已 经 介绍 过 域 成 员 计算 机 与 域 控制 器 何 时 会 应 用 组 策略 的 设置 。 可 以 更 改 这 些 设置 
值 ， 不 过 建议 不 要 将 更 新 组 策略 的 间隔 时 间 设置 得 太 短 ， 以 免 增 加 网 络 负担 。 


1. 更 改 计算 机 配置 的 应 用 间隔 时 间 


例如 要 更 改组 织 单位 业务 部 内 所 有 计算 机 的 应 用 计算 机 配置 的 间隔 时 间 的 话 : 请 在 测试 
用 的 GPO 的 计算 机 配置 界面 中 ， 如 图 4-4-16 所 示 【 双 击 组 策略 右 侧 的 设置 计算 机 的 组 策略 刷 
新 间隔 选 择 已 启用 通过 前 景 图 来 设置 单 护 钮 】， 图 中 设置 为 每 隔 90 分 钟 加 上 0 到 
30 分 钟 的 随机 值 ， 也 就 是 每 隔 90~120 分 钟 之 间 应 用 一 次 。 如 果 禁 用 或 未 配置 此 策略 的 话 ， 则 
默认 就 是 每 隔 90~120 分 钟 之 间 应 用 一 次 。 如 果 应 用 间隔 设置 为 0 分 钟 的 话 ， 则 会 每 隔 7 秒 钟 应 
用 一 次 。 

如 果 要 更 改 域 控制 器 的 应 用 计算 机 配置 的 间隔 时 间 的 话 ， 请 针对 组 织 单位 Domain 
Controllers 内 的 GPO 来 设置 《例如 Default Domain Controllers GPO) ， 其 策略 名 称 是 设置 域 控 
制 器 的 组 策略 刷新 间隔 〈 参 见 图 4-4-16 中 背景 图 ) ， 在 双击 此 策略 后 ， 如 图 4-4-17 所 示 可 知 其 
默认 是 每 隔 5 分 钟 应 用 组 策略 一 次 。 如 果 禁 用 或 未 配置 此 策略 的 话 ， 则 默认 就 是 每 隔 5 分 钟 应 
用 一 次 。 如 果 将 应 用 间隔 时 间 设 置 为 0 分 钟 的话 ， 则 会 每 隔 7 秒 钟 应 用 一 次 。 
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刁 坦 全 天 基 进 闪 要 要 有 口 X 
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图 4417 


2. 更 改 用 户 配 置 的 应 用 间隔 时 间 


例如 要 更 改组 织 单位 业务 部 内 所 有 用 户 的 应 用 用 户 配置 的 间隔 时 间 的 话 ， 请 在 测试 用 的 
GPO 的 用 户 配 置 界 面 中 ， 通 过 图 4-4-18 中 组 策略 右 侧 的 设置 用 户 的 组 策略 刷新 间隔 来 设置 ， 
其 默认 也 是 每 隔 90 分 钟 加 上 0~30 分 钟 的 随机 值 ， 也 就 是 每 隔 90~120 分 钟 之 间 应 用 一 次 。 如 果 
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停 用 或 未 设置 此 策略 的 话 ， 则 默认 就 是 每 隔 90~120 分 钟 之 间 应 用 一 次 。 如 果 将 间隔 时 间 设 置 
为 0 分 钟 的 话 ， 则 会 每 隔 7 秒 钟 应 用 一 次 。 
导 组 第 厂 乱 理 将 号 吉 1 口 和 


文 们 ”多 fF(A) 亚 看 V) 天 且 (H) 
中 | 直 呵 | 天 | 目 四 | 了 


4.5 “利用 组 策略 来 管理 计算 机 与 用 户 环 境 


我 们 将 通过 以 下 几 个 设置 来 说 明 如 何 管理 计算 机 与 用 户 的 工作 环境 : 计算 机 配置 的 管理 
模板 策略 、 用 户 配 置 的 管理 模板 策略 、 账 户 策略 、 用 户 权限 分 配 策略 、 安 全 选项 策略 、 登 录 / 
注销 /启动 /关机 脚本 与 文件 夹 重 定向 等 。 


4.5.1 计算 机 配置 的 管理 模板 策略 


我 们 在 策略 设置 实例 演练 一 :计算 机 配置 中 己 练 习 过 管理 模板 策略 ， 此 处 仅 说 明 两 个 常 
用 设置 ， 它 们 是 在 【计算 机 配置 2 策略 久 管 理 模板 】 内 : 


半 显 示 “ 关 闭 事 件 跟踪 程序 ”: 如 果 禁 用 此 策略 的 话 ， 则 用 户 将 计算 机 关机 时 ， 系 统 
就 不 会 再 要 求 用 户 提供 关机 的 理由 。 其 设置 方法 为 【系统 纺 双 击 右 侧 的 显示 “关闭 
事件 追踪 程序 ”】。 默认 会 将 关闭 事件 追踪 器 显示 在 服务 器 计算 机 上 ( 例如 
Windows Server 2016， 如 图 4-5-1 所 示 ) ， 而 工作 站 计算 机 ( 例如 Windows 10 ) 不 会 
显示 。 可 以 针对 服务 器 、 工 作 站 或 两 者 来 设置 。 


选择 一 个 最 能 说 明 你 要 关 j 


其 他 (计划 外 ) 


图 45-1 
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冯 显 示 用 户 上 次 交互 登录 的 信息 : 用 户 登 录 时 屏幕 上 会 显示 用 户 上 次 成 功 ， 失 败 登录 
的 日 期 与 时 间 ; 自从 上 次 登录 成 功 后 ， 登 录 失 败 的 次 数 等 信息 ( 如 图 4-5-2 所 示 ) 
其 设置 途径 为 【Windows 组 件 QWindows 登 录 选 项 习 双 击 右 侧 的 在 用 户 登 录 期 间 显 
示 有 关 以 前 登录 的 信息 】。 客户 端 计算 机 必须 是 Windows Vista 以 上 。 


图 452 


除了 会 应 用 到 客户 端 计算 机 的 GPO 需 要 启用 此 功能 之 外 ， 还 需要 在 会 应 用 到 域 控制 器 的 
GPO ( 例如 Default Domain Controller Policy 或 Default Domain Policy ) 来 启用 此 功能 ， 否 
则 用 户 登 录 时 将 无 法 获取 登录 信息 ， 也 无 法 登录 ( 见 图 4-5-3 ) 。 


图 45-3 


可 以 通过 【打开 Active Directory 管 理 中 心 纺 双击 用 户 账户 写 单 击 扩展 节 马 单 击 属性 
编辑 器 】〗 的 方法 来 查看 该 用 户 的 这 些 属性 值 (例如 msDS- 
IastSuccessfulInteractiveLogonTime 、 msDS-LastFailedInreractiveLogonTime 、 msDS 一 
FailedInteractiveLogonCountAtLastSuccessfulLogon 等 ) 。 


也 可 以 使 用 【打开 Active Direetory 用 户 和 计算 机 驴 单 击 查看 菜单 驴 高 级 功能 全 选中 
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用 户 账户 并 右 击 驴 属性 已 单 击 属性 编辑 器 选项 卡 写 从 属性 列表 中 的 来 查看 这 些 属 性 
值 】。 
如 果 在 客户 端 计算 机 上 通过 本 地 组 策略 来 启用 此 策略 ， 但 是 此 计算 机 并 未 加 入 域 功能 级 


别 为 Windows Server 2008 ( 合 ) 以 上 的 域 的 话 ， 刚 用户 在 这 全 计算 机 登录 时 将 无 法 获取 
登录 信息 ， 也 无 法 登录 。 


4.5.2 ”用 户 配置 的 管理 模板 策略 


我 们 在 策略 配置 实例 演练 二 : 用 户 配置 中 已 经 练习 过 管理 模板 策略 ， 此 处 仅 说 明 几 个 常 
用 配置 ， 它 们 是 在 【用 户 配 置 纺 策略 管 理 模板 】 中 
匀 限制 用 户 只 能 或 不 能 运行 指定 的 Windows 应 用 程序 : 其 设置 方法 为 【系统 忆 双 击 右 


侧 的 只 运行 指定 的 Windows 应 用 程序 或 不 运行 指定 的 Windows 应 用 程序 】. 在 添加 
程序 时 ， 请 输入 该 应 用 程序 的 可 执行 文件 名 称 ， 例 如 eMule.exe。 


是 如 果 用 户 利用 文件 资源 管理 器 更 改 此 程序 的 文件 名 的 话 ， 是 否 这 个 策略 就 无 法 发 挥 
作用 ? 


图 不 过 可 以 利用 第 6 章 的 软件 限制 策略 来 达到 限制 用 户 执行 此 程序 的 目的 ， 即 
使 其 文件 名 被 改名 。 


计 隐藏 或 只 显示 控制 面板 内 指定 的 项 目 ; 用 户 在 控制 面板 内 将 看 不 到 被 隐藏 起 来 的 项 
目 或 只 看 得 到 被 指定 要 显示 的 项 目 : 【控制 面板 驴 双 击 右 侧 的 隐藏 指定 的 “控制 面 
板 ” 项 或 只 显示 指定 的 “控制 面板 ”项 〗。 在 添加 项 目 时 ， 请 输入 项 目 名 称 ， 例 如 
鼠标、 用 户 账户 等 。 

外 茶 用 按 瑟 加 | + 多 四 + 允 二 皇后 所 出 现 的 界面 中 的 选项 : 用 户 按 这 3 个 键 后 ， 将 无 法 使 
用 界面 中 被 茶 用 的 按钮 ， 例 如 功 绽 瑟 测 以 锯 、 国 王 汪 本 汪 坟 和 包 、 渤 榨 和 包 等 ， 其 设 
置 方法 为 : 【系统 忆 CtrIHAlttDel 选 项 ] . 

沁 隐藏 和 禁用 桌面 上 的 所 有 项 目 : 其 设置 方法 为 【 秦 面 纪 隐 藏 和 禁用 桌面 上 的 所 有 项 
目 】。 用 户 登 录 后 ， 传 统 面 上 所 有 项 目 都 会 被 隐藏 、 选 中 桌面 按 息 标 右键 也 无 作用 。 

包 删 除 Internet 选 项 中 的 部 分 选项 卡 : 用 户 【 技 田 + 图 健 2 输 入 control 后 校医 国 健 网 络 
和 Internet2Internet 选 顶 】， 无 法 选用 被 删除 的 选项 卡 ， 例 如 安全 、 连 接 、 高 级 等 
选项 卡 。 其 设置 方法 为 【Windows 组 件 QInternet Explorer 仿 双击 右 侧 的 Internet 控 
制 面 板 】， 

习 刘 除 开始 菜单 中 的 关机 、 重 启 、 肥 眠 和 休 限 命令 : 其 设置 方法 为 【[ 开 始 ] 菜 单 和 任务 
栏 3 双 击 右 侧 删除 并 禁止 访问 “关机 ”、“ 重 新 启动 ” 、“ 了 睡眠 ”和 “ 休 乳 ” 命 


国 ;zx 
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令 】-。 用 户 的 开始 菜单 中 ， 这 些 功 能 的 图 标 会 被 删除 或 无 法 选择 、 按 Ei + gi + 
了 | 键 后 也 无 法 使 用 它们 ， 


4.5.3 ”账户 策略 


我 们 可 以 通过 账户 策略 来 设置 密码 的 使 用 标准 与 账户 锁定 方式 。 在 设置 账户 策略 时 请 特 
别 注意 以 下 说 明 : 


外 针对 域 用 户 所 设置 的 账户 策略 需要 通过 域 级 别 的 GPO 来 设置 才 有 效 ， 例 如 通过 域 的 
Default Domain Policy GPO 来 设置 ， 此 策略 会 被 应 用 到 域内 所 有 用 户 。 通 过 站 点 或 组 
织 单位 的 GPO 所 设置 的 账户 策略 ， 对 域 用 户 没 有 作用 。 
账户 策略 不 但 会 被 应 用 到 所 有 的 域 用 户 账 户 ， 也 会 被 应 用 到 所 有 域 成 员 计 算 机 内 的 
本 地 用 户 账 户 。 

外 如 果 针 对 某 个 组 织 单位 (如 图 4-5-4 中 的 金融 部 ) 来 设置 账户 策略 ， 则 这 个 账户 策略 
只 会 被 应 用 到 位 于 此 组 织 单位 的 计算 机 ( 例如 图 中 的 Win10PC101、Winl10PC102、 
Win10PC103 ) 的 本 地 用 户 账 户 而 已 ， 但 是 对 位 于 此 组 织 单位 内 的 域 用户 账 户 【 例 如 
图 中 的 王 大 杰 等 ) 却 没有 影响 。 


本 Acive Direeory 四 下 Er 本 


苷 Adtve Diector- < 
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图 454 
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1， 如 果 域 与 组 织 单位 都 设置 了 用 户 账 户 策略 ， 并 且 设置 发 生 冲突 时 ， 则 此 组 织 单位 内 的 
成 员 计算 机 的 本 地 用 户 账户 会 采用 域 的 设置 。 
2. 域 成 员 计算 机 也 有 自己 的 本 地 账户 策略 ， 不 过 如 果 其 设置 与 域 /组 织 单位 的 设置 发 生 
冲突 的 话 ， 则 采用 域 /组 织 单位 的 设置 。 
要 设置 域 账 户 策略 的 话 : 【选中 Default Domain Policy GPO (或 其 他 域 级 别 的 GPD) 并 右 击 
编 辑 忆 如 图 4.5-5 所 示 展 开 计算 机 配置 已 策 略 23Windows 设 置 2 安 全 设置 2 账户 策略 】 的 方法 。 
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图 455 
1- 密码 策略 
如 图 4-5-6 所 示 单 击 密码 策略 后 就 可 以 设置 以 下 策略 : 


恒 站 全 要 信 理 闫 才 居 一 古 钢 
文 4H。 吕 fFA)， 查看 帮助 H 
和 史 | 疏 吧 | 马 | 目 玛 


图 456 

外 用 可 还 原 的 加 密 来 存储 密码 : 如 果 有 应 用 程序 需要 读 取 用 户 的 密码 ， 以 便 验证 用 户 
身份 的 话 ， 可 以 启用 此 功能 ， 不 过 它 相 当 于 用 户 密 码 没 有 加 密 ， 因 此 不 安全 。 默 认 
为 禁用 。 

浊 密码 必须 符合 复杂 性 要 求 : 如 果 语 用 此 功能 的 话 ， 则 用 户 的 密码 需要 同时 满足 以 下 
条 件 : 
国 不 能 包含 用 户 账户 名 称 ( 指 用 户 SamAccountName ) 或 全 名 - 
图 长 度 至 少 委 6 个 字符 - 
国 至 少 需要 包含 A~Z、a~z、0-9、 非 字母 数字 ( 例如 1、$、#、 哆 ) 等 4 组 字符 中 的 3 

组 。 

因此 123ABCdef 是 有 效 的 密码 ， 而 87654321 是 无 效 的 ， 因 它 只 使 用 数字 这 一 种 字 
符 。 又 如 用 户 账户 名 称 为 mary， 则 123ABCmary 是 无 效 密码 ， 因 为 包含 用 户 账户 名 
称 。AD DS 域 与 独立 服务 器 默认 是 司 用 此 策略 的 。 


图 ;2 
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习 密码 最 长 使 用 期 限 : 用 来 设置 密码 最 长 的 使 用 期 限 ( 可 为 0-999 天 ) ， 用 户 在 登录 
时 ， 如 果 密 码 使 用 期 限 已 到 的 话 ， 系 统 会 要 求 用 户 更 改 密码 。 若 此 处 为 0， 则 表示 密 
码 没有 使 用 期 限 。AD DS 域 与 独立 服务 器 默认 值 都 是 42 天 。 

旬 密码 景 短 使 用 期 限 : 用 来 设置 用 户 密码 的 最 短 使 用 期 限 ( 可 为 0-998 天 ) ， 在 期 限 未 
到 前 ， 用 户 不 能 更 改 密码 。 如 果 此 处 为 0 表示 用 户 可 以 随时 更 改 密码 。AD DS 域 的 黑 
认 值 为 1， 独 立 服 务 器 的 默认 值 为 0。 

沁 强制 密码 历史 ， 用 来 设置 是 否 要 记录 用 户 曾经 使 用 过 的 旧 密 码 ， 以 便 决 定 用 户 在 更 
改 密码 时 ， 是 否 可 以 重复 使 用 旧 密 码 。 此 处 可 被 设置 为 : 

国 ]~24: 表示 要 保存 密码 历史 记录 。 例 如 设置 为 5S， 则 用 户 的 新 密码 不 能 与 前 5 次 所 
使 用 过 的 旧 密 码 相 同 ， 

国 0:; 表示 不 保存 密码 历史 记录 ， 因 此 密码 可 以 重复 使 用 ， 也 就 是 用 户 更 改 密码 时 ， 
可 以 将 其 设置 为 以 前 曾经 使 用 过 的 任何 一 个 旧 密 码 。 

AD DS 域 的 默认 值 为 24:， 独立 服务 器 的 默认 值 为 0。 

中 密码 长 度 最 小 值 : 用 来 设置 用 户 账户 的 密码 最 少 需 几 个 字符 。 此 处 可 为 0-14， 若 为 
0， 表 示 用 户 账户 可 以 没有 密码 。AD DS 域 的 默认 值 为 7， 独 立 服务 器 的 默认 值 为 0。 


2， 账户 锁定 策略 (accountlockout policy) 
可 以 通过 图 4-5-7 中 的 账户 锁定 策略 来 设置 锁定 用 户 账户 的 方式 。 


司 所 乱 本 管 汉 生气 汪 一 
广 必 四 ”二 fEAL， 王 看 MI。 对 如 (HI) 

| 和 哆 | 才 面 | 也 | 目 和 站 

ET 


图 457 

久 隆 户 锁定 靖 值 : 可 以 让 用 户 在 登录 多 次 失败 后 【密码 错误 ) ， 就 将 该 用 户 账户 锁 
定 ， 在 未 被 解除 锁定 之 前 ， 用 户 无 法 再 利用 此 账户 来 登录 。 此 处 用 来 设置 登录 失败 
次 数 ， 其 值 可 为 0-999。 默 认为 0， 表 示 账 户 永远 不 会 被 锁定 。 

匀 账户 锁定 时 间 : 用 来 设置 锁定 账户 的 期 限 ， 期 限 过 后 会 自动 解除 锁定 。 此 处 可 为 0~ 
99999 分 钟 ， 如 果 为 0 分 钟表 示 永 久 锁 定 ， 不 会 自动 被 解除 锁定 ， 此 时 需 由 系统 管理 
员 手 动 解除 锁定 ， 也 就 是 如 图 4-5-8 所 示 单 击 用 户 账 户 属性 的 账户 节 处 的 解锁 账户 
【账户 被 锁定 后 才 会 有 此 选项 ) ， 
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图 458 


“锁定 计数 器 ”是 用 来 记录 用 户 登 录 失 败 的 次 数 ， 其 起 始 值 
为 0， 用 户 如 果 登 录 失 败 ， 则 锁定 计数 的 值 就 会 加 1， 如 果 登 录 成 功 ， 则 锁定 计数 器 
的 值 就 会 归 零 。 如 果 锁 定 计数 器 的 值 等 于 账户 锁定 阔 值 ， 该 账户 就 会 被 锁定 。 

如 果 用 户 最 近 一 次 登录 失败 后 ， 到 现在 为 止 已 经 超过 此 处 的 时 间 的 话 ， 则 锁定 计数 
器 值 便 会 自动 归 零 。 以 前 面 的 图 4-5-7 来 说 ， 如 果 用 户 连续 3 次 登录 失败 的 话 ， 其 账 
户 就 会 被 锁定 。 但 在 尚未 连续 3 次 登录 失败 之 前 ， 如 果 最 近 一 次 登录 失败 后 ， 到 现在 


当 重 设 账户 锁定 计数 器 : 


为 止 已 超过 30 分 钟 的 话 ， 则 锁定 计数 器 值 就 会 归 零 。 


4.5.4 用户 权限 分 配 策略 


可 以 通过 图 4-5-9 中 的 用 户 权限 分 配 来 将 执行 特殊 工作 的 权限 分 配给 用 户 或 组 〈 此 图 是 以 


Default Domain Controller Policy GPO 为 例 ) 。 


一 -Ar 一 


也 组 条 中 乱 理 六 各 和 
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如 果 要 为 用 户 分 配 图 4-5-9 右 侧 任何 一 个 权限 时 : 【双击 该 权限 纺 在 如 图 4-5-10 所 示 中 单 
击 党 送 用 谍 或 一 按钮 2 选择 用 户 或 组 】-。 


关闭 系统 天 性 时 藉 


安全 策 覆 设置 说明 


图 45.J0 
以 下 列举 几 个 常用 的 权限 策略 说 明 : 


包 刘 许 本 地 悚 录 : 克 许 用 户 直接 在 本 地 计算 机 上 有 登录 ( 例如 掖 回避 + 加 | + 国 | 十 ) ， 
当 拒绝 本 地 登录 : 与 前 一 个 权限 刚好 相反 。 此 权限 优先 于 前 一 个 权限 
将 工作 站 添加 到 域 : 允许 用 户 将 计算 机 加 入 到 域 。 


FED 和 


每 一 位 域 用 户 黑 认 有 10 次 将 计算 机 加 入 域 的 机 会 ， 不 过 一 旦 拥有 将 工作 站 添加 到 域 的 权 
限 后 ， 其 次 数 就 没有 限制 ， 


外 关闭 系统 : 允许 用 户 将 此 计算 机 关机 。 

包 从 网 络 访问 此 计算 机 : 克 许 用 户 通过 网 络 上 其 他 计算 机 来 连接 ， 访 问 这 台 计 算 机 。 
匀 拒绝 从 网 络 访问 这 台 计 算 机 : 与 前 一 个 权限 刚好 相反 。 此 权限 优先 于 前 一 个 权限 
涪 从 远程 系统 强制 关机 : 允许 用 户 利 用 远程 计算 机 来 将 此 台 计算 机 关机 。 

外 备份 文件 和 目录 ; 允许 用 户 备份 硬盘 内 的 文件 与 文件 夹 。 

匀 还 原文 件 和 目录 :; 允许 用 户 还 原 所 备份 的 文件 与 文件 志 。 

匀 管理 审核 和 安全 日 志 : 允许 用 户 指定 要 审核 的 事件 ， 也 允许 用 户 查询 与 清除 安全 日 


志 


更 改 系统 时 间 ; 允许 用 户 更 改 计算 机 的 系统 日 期 与 时 间 。 
加 载 和 睾 栽 设备 驱动 程序 : 允许 用 户 加 载 与 和 载 设备 的 驱动 程序 
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浊 取得 文件 或 其 他 对 象 的 所 有 权 : 允许 取得 其 他 用 户 所 拥有 的 文件 、 文 件 夹 或 其 他 对 


象 的 所 有 权 。 


IEED 


此 处 的 “用 户 权 限 分 配 ” 原 文 为 User Rights Assignment， 应 被 翻译 为 “用 户 权 利 分 
配 ”。 在 Windows Server 2016 内 将 permission ( 权限 ) 与 rights { 权利 ) 都 翻译 为 “ 权 
限 ”。 


4:5.5 ”安全 选项 策略 


可 以 通过 如 图 4-5-11 的 安全 选项 策略 来 启用 计算 机 的 一 些 安全 设置 。 图 中 以 测试 用 的 


GPO 为 例 ， 并 列举 以 下 几 个 安全 选项 策略 : 
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Se = 可 艾 
2 


图 4S-11 


忆 交互 式 登录 : 无 须 按 加 加 + 攻 昌 + 加 加 键 、 登录 界面 不 会 再 显示 类 似 掖 回避 + 攻 四 + 


项 司 录 的 消息 (这 是 Windows 10 等 客户 端的 默认 值 ) 。 


六 交互 式 登录 : 不 显示 最 后 的 用 户 名 。 


客户 端 登录 界面 上 不 显示 上 一 次 登录 的 用 户 名 。 


汉 交 互 式 登录 : 提示 用 户 在 过 期 之 前 更 改 密码 。 用 来 设置 在 用 户 的 密码 过 期 前 几 天 ， 


提示 用 户 更 改 密码 。 


外 交互 式 登录 : 之 前 登录 到 缓存 的 次 数 ( 域 控制 器 不 可 用 时 ) 。 域 用 户 登 录 成 功 后 ， 


其 账户 信息 会 被 存储 到 用 户 计算 机 的 缓存 区 ， 如 果 之 后 此 计 草 机 因 故 无 法 与 域 控制 
器 连接 的 话 ， 该 用 户 仍然 可 以 通过 缓存 区 的 账户 数据 来 验证 身份 与 登录 。 可 以 通过 

此 策略 来 设置 缓存 区 内 账户 数据 的 数量 ， 默 认为 记录 10 个 登录 用 户 的 账户 数据 
( Windows Server 2008 为 25 个 ) 。 


习 交互 式 登录 : 试图 登录 的 用 户 的 消息 标题 、 试 图 登录 的 用 户 的 消息 本 文 。 如 果 用 户 


在 登录 时 按 E@ 辐 + 加 四 + 国 和 键 后 ， 界 面 上 能 够 显示 希望 用 户 看 到 的 消息 的 话 ， 可 以 
通过 这 两 个 选项 来 设置 ， 其 中 一 个 用 来 设置 消息 的 标题 文字 ， 一 个 用 来 设置 消息 内 容 。 
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外 关机 : 允许 系统 在 未 登录 的 情况 下 关闭 。 让 登录 界面 的 右 下 角 能 够 显示 关机 图 标 ， 
以 便 在 未 登录 的 情况 下 就 可 直接 通过 此 图 标 将 计算 机 关机 ( 这 是 Windows 10 等 客户 
端的 默认 值 ) 。 


4.5.6 “登录 /注销 、 启 动 /关机 脚本 

可 以 让 域 用 户 在 登录 时 ， 其 系统 就 自动 执行 登录 脚本 〈script) ， 而 当 用 户 注销 时 ， 就 自 
动 执 行 注销 脚本 ， 另 外 也 可 以 让 计算 机 在 开机 启动 时 自动 执行 启动 脚本 ， 而 关机 时 自动 执行 
关机 脚本 。 


1. 登录 脚本 的 设置 


以 下 利用 文件 名 为 logon.bat 的 批 处 理 文件 来 练习 登录 脚本 。 请 利用 记事 本 《notepad) 来 
建立 此 文件 ， 其 中 只 有 一 行 如 下 所 示 的 命令 ， 它 会 在 C:\ 之 下 新 建文 件 夹 TestDir: 


mkdir cxNTestDir 
以 下 我 们 利用 组 织 单 位 业务 部 的 测试 用 的 GPO 来 说 明 。 


STEP 税 。 单 击 左下 角 开 始 图 标 田 QWindows 管理 工具 2 组 策略 管理 纺 展 开 到 组 织 单 位 业务 部 写 
选中 测试 用 的 GPO 并 右 击 2 编辑 。 

STEP 四 。 如 图 4-5-12 所 示 【 展开 用 户 配置 纺 策 略 2Windows 设 置 忆 脚本 ( 登录 /注销 ) 3 双击 右 
例 的 登录 2 单 击 显示 文 俐 按钮 ] 。 

可 区 人 是 苦 理 坏 志 拉 一 口 苇 


文 析 站 “ 强 fEA) 天 等 MI。 大和 CH) 
各 申 | 古 四 | 本目 如 
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STEP 


STEP 四 
STEP 回 


STEP 上 加 


STEP 


转 1 


出 现 图 4-5-13 的 界面 时 ， 请 将 登录 脚本 文件 logon.bat 粘 贴 到 界面 中 的 文件 夹 内 ， 此 文件 
夹 是 位 于 域 控制 器 的 SYSVOL 文 件 夹 内 ， 其 完整 路 径 为 ( 其 中 的 GUID 是 测试 用 的 


GPO 的 GUID ) : 


sysleniyoomhNASYSVOLNsysvol\ 成 名 PolicicsGUIDJNUsetScriptsLogon 


too 
市 

小 于 

[ 


机 


一 五 
User ， senipts ylogon on 户 
亿 和 FE 央 到 站 


[EL 了 
记 aa 


硬 pvD 更 二 TD) SS5 654 


站 


1 。 选中 1 中 硕 目 用地 有 医 加 


请 关闭 图 4-5-13 窗 


图 45-13 
口 ， 回 到 前 面 图 4-5-12 的 前 景 图 中 单 击 演出 按钮 


在 图 4-5-14 中 通过 缠 山 按钮 从 前 面 图 4-5-13 的 文件 夹 内 选择 登录 脚本 文件 logonbat。 
完成 后 单 击 态 宣 坊 钮 。 
二 加 县 本 X. 
施 本 名 (N): 
EE 
于 本 才 数 Ph: 


图 45-14 


回 到 图 4-5-15 的 界 


面 时 单 击 癣 定 按 钮 。 


完成 设置 后 ， 纪 


图 45-15 
织 单位 业务 部 内 的 所 有 用 户 登 录 时 ， 系 统 就 会 自动 执行 登录 脚本 


logon.bat， 它 会 在 C:\ 之 下 建立 文件 夹 TestDir， 请 自行 利用 文件 资源 管理 器 来 检查 (| 如 


图 4-5-16 所 示 ) 。 
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ET 三 -二 
和 YY 号 -二 (clr 站 
通 z 了 起 二 卫 】 入 
可 三 ) pertoos 201677116 ai23 。 六 B 夫 
小 本 卫 preormam Fles 20i6rtah4 1906 六 8 冯 
] pauaan Fies bg 20va71162123 。 六 二 有 
2 
ie 后 疆 
避 和 六 和 国 和 们 旺 RSG 018/623 025 文蛤 v 
靖 DVD 亚 动 本 [DJ SSS X54 。《 
10 下 硕 上 图 = 


图 45-16 


若 客户 端 是 Windows 8&.1、Windows 8 的 话 ， 可 能 需 等 待 3、5 分 钟 才 看 得 到 上 述 登录 苋 本 | 
区 请 洒 8 


2. 注销 脚本 的 设置 


以 下 利用 文件 名 为 logoff.bat 的 批 处 理 文件 来 练习 注销 脚本 。 请 利用 记事 本 (notepad) 来 
建立 此 文件 ， 其 中 只 有 一 行 如 下 所 示 的 命令 ， 它 会 将 CTestDir 文 件 夹 删除 : 


zmadir crNTestDiz 
以 下 利用 组 织 单位 业务 部 的 测试 用 的 GPO 来 说 明 。 


STEP 舍 请 先 将 前 一 个 登录 脚本 设置 删除 ， 也 就 是 单 击 前 面 图 4-5-15 中 的 logon.bat 后 单 击 删 呈 
按钮 ， 以 免 干 扰 验 证 本 实验 的 结果 。 

STEP 加 以 下 演练 的 步骤 与 前 一 个 登录 脚本 的 设置 类 似 ， 不 再 重复 ， 不 过 在 图 4-5-12 中 背景 图 
改选 注销 、 文 件 名 改 为 logoff.bat。 

STEP 回 。 在 客户 端 计算 机 【 按 租 + 国 键 2 执行 gpupdate 命 令 】 以 便 立 即 应 用 上 述 策略 设置 、 在 客 
户 端 计算 机 上 利用 注销 、 再 重新 登录 的 方式 来 应 用 上 述 策略 设置 。 

STEP 回 。 再 注销 ， 这 时 候 就 会 执行 注销 脚本 logoff.bat 来 删除 CTestDir， 请 再 登录 后 利用 文件 资 
源 管理 器 来 确认 CTestDir 已 被 删除 ( 请 先 确认 logon.bat 已 经 删除 ， 否 则 它 又 会 建立 此 
文件 夹 ) 。 


3. 启动 /关机 脚本 的 设置 


我 们 可 以 利用 图 4-5-17 中 组 织 单位 业务 部 的 测试 用 的 GPO 为 例 来 说 明 ， 而 且 以 图 中 计算 
机 名 称 为 Win10PC1 的 计算 机 来 练习 启动 /关机 脚本 。 如 果 您 要 练习 的 计算 机 不 是 位 于 组 织 单 
位 业务 部 内 ， 而 是 位 于 容器 Computers 内 ， 则 请 通过 域 级 别 的 GPO 来 练习 【例如 
DefaultDomain Policy) ， 或 将 计算 机 账户 移动 到 组 织 单位 业务 部 。 
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图 4517 


由 于 启动 /关机 脚本 的 设置 步骤 与 前 一 个 登录 /注销 脚本 的 设置 类 似 ， 故 此 处 不 再 重复 ， 不 
过 在 图 4-5-18 中 改 为 通过 计算 机 配置 。 可 以 直接 利用 前 面 的 登录 /注销 脚本 的 示例 文件 来 练习 


了 三 第 和 和 过 各 


= 3] 际 - 贰 
六 扣 (FA 查看 ()。 归 了 (| 


4:5.7 ”文件 夹 重 定向 


可 以 利用 组 策略 来 将 用 户 的 某 些 文件 夹 的 存储 位 置 ， 如 


定向 到 网 络 共享 文件 夹 内 ， 这 些 
文件 夹 包含 文件 、 图 片 ， 音 乐 等 ， 如 图 4-5-19 所 示 。 
呈 | 


20rasrra2i56 
ars1142136 
apteaylaa156 六 


201a151142156 
01ars1142156 。 文 # 关 
2D1a151142156 。 7 了 衬 


2136 8 
， 口 仙 
面 byp 竟 38 IDJ SSX54 必 本 


1 8 
TI 人 mm 


图 45-19 


转 ,> 
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这 些 文件 夹 平常 是 存储 在 本 地 用 户 配置 文件 内 ， 也 就 是 %sSystemPDrive%\ 用 户 \ 房 户 各 
【或 9SystemDrive%o\Users\ 房 户 名 ) 文件 夹 内 ， 例 如 图 4-5-19 为 用 户 mary 的 本 地 用 户 配置 文 
件 文件 夹 ， 因 此 用 户 换 到 另外 一 台 计算 机 登录 的 话 ， 就 无 法 访问 到 这 些 文件 夹 ， 而 如 果 能 够 
将 其 存储 位 置 改 为 〈 重 定向 到 》 网 络 共享 文件 夹 的 话 ， 则 用 户 到 任何 一 台 域 成 员 计算 机 上 登 
录 时 ， 都 可 通过 此 共享 文件 来 来 访问 这 些 文件 夹 内 的 文件 。 


1. 将 “文档 ”文件 夹 重 定向 


我 们 利用 将 组 织 单位 业务 部 内 所 有 用 户 〈 包 含 mary) 的 文件 文件 夹 快捷 方式 ， 来 说 明 如 
何 将 此 文件 夹 重 定向 到 另外 一 人 台 计 算 机 上 的 共享 文件 夹 。 
STEP 禹 到 任何 一 省 域 成 员 计 算 机 上 建立 一 个 文件 夹 ， 例 如 我 们 在 服务 器 dcl 上 建立 文件 来 
CNDocStore， 然 后 要 将 组 织 单位 业务 部 内 所 有 用 户 的 文件 文件 来 重 定向 到 此 位 置 。 
STEP 回 。” 将 此 文件 夹 设置 为 共享 文件 夹 、 将 共享 权限 读 取 / 写 入 赋予 Everyone ( 系统 会 同时 将 完 
全 控制 的 共享 权限 与 NTFS 权 限 赋 予 Everyone ) 。 


其 共享 名 黑 认 为 文件 夹 名 称 DocStore， 建 议 将 共享 文件 夹 隐 茂 起 来 ， 也 就 是 将 共享 名 最 
后 一 个 字符 设置 为 % 符 号 ， 例 如 DocStores。 


STEP 回 。 到 域 控制 器 上 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 了 组 策略 管理 2 展开 到 组 
织 单位 业务 部 选 中 测试 用 的 GPO 右 击 纺 编辑 ] 。 
STEP 四 。 如 图 4-5-20 所 示 【 展开 用 户 配 置信 策略 Windows 设 置 忆 文件 夹 重 定向 选 中 文件 夹 重 
定向 并 右 击 3 属 性 】。 
司 组 年 大千 理 纺 各 器 -二 汉 
证 阳 ， 提 NN 当 下 六 生 几 乓 
和 史 | 久 加 | 国 要 | 加 


慎 测 江 用 的 GPO [DCILSAYMSLOCAU 第 ^ 
7 是 计算 人 下 可 
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STEP 回 。 参照 图 4-5-21 来 设置 ， 完 成 后 单 击 区 侧 按钮 。 图 中 的 根 路 径 指向 我 们 所 建立 的 共享 文 
件 夹 dcl\DocStore， 系 统 会 在 此 文件 来 之 下 自动 为 每 一 位 登录 的 用 户 分 别 建立 一 个 专 
用 文件 夹 ， 例 如 账户 名 称 为 mary 的 用 户 登 录 后 ， 系 统 会 自动 在 \dcl\DocStore 之 下 ， 建 
立 一 个 名 称 为 mary 的 文件 夹 。 图 中 在 设置 处 共有 以 下 几 种 选择 ， 


浊 基本 - 将 每 个 人 的 文件 天 重 定向 到 同一 个 位 置 : 它 会 将 组 织 单位 业务 部 内 所 有 用 户 


的 文件 夹 都 重 定向 。 
当 高 级 -为 不 同 的 用 户 组 指定 位 置 : 它 会 将 组 织 单位 业务 部 内 隶属 于 特定 组 的 用 户 的 
文件 夹 重 定向 。 
匀 未 配置 : 也 就 是 不 进行 重 定向 。 
民工- 7 区 
目标 六 梧 


各 路 EP 
本 
| 
| 刀 用 户 Clair , 此 文件 半 特 术 攻 二 疝 王 - | 
| Neouaeraaatonane | 

图 45-21 


另外 ， 图 中 的 目标 文件 夹 位 置 共有 以 下 的 选择 ; 


尝 重 定向 到 用 户 的 主 目录 : 如 果 用 户 账 户 中 有 指定 主 目录 的 话 ， 则 此 选择 可 将 文件 来 
重 定向 到 其 主 目录 。 


习 在 根 目录 路 径 下 为 每 一 用 户 创建 一 个 文件 类: 如 前 面 所 述 ， 它 让 每 一 个 用 户 各 自 有 


一 个 专用 的 文件 夹 。 本 
阅 重 定向 到 下 列 位 置 : 将 所 有 用 户 的 文 
件 夫 重 定向 到 同一 个 文件 夹 。 2 信 生 WO Sever200 乓 EN 
习 重 定向 到 本 地 用 户 配置 文件 位 置 : 重 
定向 回 原来 的 位 置 。 9 
STEP 回 。 出 现 图 4.5-22 的 界面 是 在 提醒 我 们 需 Ca mm | 


另外 设置 ， 才 能 够 将 策略 应 用 到 旧版 


转 1 
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Windows 系 统 ， 请 直接 单 击 全 呈 风 过 钮 红 续 { 后 面 再 介绍 如 何 设置 ) 。 

STEP 贺 。 请 利用 组 织 单位 业务 部 内 的 任何 一 个 用 户 账户 到 域 成 员 计算 机 { 以 Windows 10 为 例 ) 
登录 ， 以 用 户 mary 为 例 ，mary 的 文件 将 被 重 定向 到 \dcI\DocStore\marydocuments 文件 
夹 ( 也 就 是 \Wdcl\DocStorewmary\ 文 件 文件 夹 ) 。Mary 可 以 【 打开 文件 资源 管理 器 仿 如 
图 4-5-23 所 示 选 中 快速 访问 或 本 地 之 下 的 文件 并 右 击 2 属 性 ] 来 得 知 其 文件 文件 夹 是 
位 于 重 定向 后 的 新 位 置 \dcl\DocStorevmary。 


时 /车 后 二 了) 全 
PE ,mm 牛 
+ -个 三 ， RE ) 5 三 
~ 才 人 本 目 “六 h 关 四 AN 
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[> HU 天 册 。 尖 事 全 位 是 。 05 生 本 下 二 多 
二 :ad ED4F | 
大 
5 二 二 | 四 四 wesonoseoal 臣 
"全 EPON 本 
， 王 四 | 3 2 sh 
Ed 证 
到 了 aa) 
， 小 本 天 地- 所) 2 本 几 Ri 和 区 
) 国 ja as 有 2 有 0 了 下 
2 CD) 忆 合 1 人 文 御 10 个 广 过 
站 本。 
二 Mr 放 。2018se3 朋 18 173816 
让 
ESE 国 开 各 应 用 于 文件 机 中 的 六 梓 KR 
口 mm 一 
图 4523 


用 户 可 能 需要 登录 两 次 后 ， 文 件 夹 才 会 成 功 地 被 重 定向 ， 用 户 登 录 时 ， 系 统 默 认 并 不 会 
二 带 人 二 六。 拓 有 才 示 类 拓 区 二 
来 验证 用 户 ， 以 便 提高 用 户 登 录 的 效率 。 之 后 等 网 络 启动 完成 ， 系 统 就 会 自动 在 后 人 台 应 
尖 关 条 让 个 央 克 二 二天 三 丰 生生 下 而 才 二 人 因此 本 实 
验 可 能 需要 登录 两 次 才 有 作用 。 | 
如 果 用 户 账户 内 有 被 指定 使 用 漫游 用 户 策略 文件 、 主 目录 或 登录 脚本 的 语 ， 则 该 用 户 合 
录 时 ， 系 统 会 等 网 络 启动 完成 后 才 让 用 户 登录 。 

如 果 用 户 第 一 次 在 此 计算 机 登录 的 话 ， 因 缓存 区 内 没有 该 用 户 的 账户 数据 ， 故 必须 等 网 | 
络 启动 完成 ， 此 时 就 可 以 取得 最 新 的 组 策略 设置 值 。 

通过 组 策略 来 更 改 客户 端 此 默认 值 的 方法 为 : 【 计算 机 配置 策 略 忆 管 理 模板 系 统 

_ 生 录 2 计算 机 启动 和 登录 时 总 是 等 待 网 络 ] 。 


由 于 用 户 的 文档 文件 夹 已 经 被 重 定向 ， 因 此 用 户 原本 位 于 本 地 用 户 配 置 文件 文件 夹 内 的 
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文档 文件 来 将 被 删除 ， 例 如 图 4-5-24 中 为 用 户 mary 的 本 地 用 户 配 置 文件 文件 夹 的 内 容 ， 其 内 


已 经 看 不 到 文档 文件 夹 。 
| 加 项 =1may = :| 
有 E == :=  i 目 
本 ay， 总” 和 may 户 
vc) 束 3 


下 inapub 
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》 下 InstallationMedia 重视 沈 2018451144565 
) perioes 坎 K 夫 20ral51i4 2156 
) PEanfus 吉 二 01815714 二 5 = 
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下 2018/5114 2156 
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administrator 
Ya 
一 = PS > 
Ti 上 图 = 
45-24 


可 以 到 共享 文件 夹 所 在 的 服务 器 dc1 上 来 检查 此 共享 文件 夹 之 下 ， 是 否 已 经 自动 建立 用 户 
mary 专 用 的 文件 均 ， 如 图 4-5-25 所 示 的 CN\DocStore\Mary \Documents 文 件 夹 就 是 mary 的 文档 的 


新 存储 位 置 。 
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必 国 s :到 9 
十。 -T 贿 < 可 (CI ，pocitore ，men ， 和 半 of 刁 

醒目 1 2 3 

各 人 jpocumene 17T1T7 yd Ts 

下 poesore 

5 了 

) ooomen 

， 村 napwb eepre 一 人， 

1T 目 扣 
图 4525 


2. 文件 来 重 定向 的 好 处 


将 用 户 的 文档 文件 夹 〈 或 其 他 文件 夹 ) 重 定向 到 网 络 共享 文件 夹 后 ， 便 可 以 享有 以 下 好 


处 与 特色 。 


忆 
| 


用 户 到 网 络 上 任何 一 台 计 算 机 登录 域 时 ， 都 可 以 访问 到 此 文件 夹 。 
使 用 漫游 用 户 配 置 文件 的 用 户 的 文档 文件 夹 被 重 定向 后 ， 在 漫游 用 户 策略 文件 文件 


夹 内 就 不 会 存储 文档 ， 故 用 户 登 录 、 读 取 漫 游 用 户 策略 文件 时 ， 或 注销 、， 保 存 漫游 
用 户 策 略 文件 时 ， 因 不 需 加 载 、 存 储 文档 ， 因 此 登录 、 注 销 的 效率 高 。 


轩 ,4 


文档 文件 夹 被 重 定向 到 网 络 服务 器 的 共享 文件 夹 后 ， 其 中 的 文件 可 通过 信息 部 门 的 
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服务 器 定期 备份 工作 ， 使 得 用 户 的 文件 多 了 一 份 保障 。 

外 文档 文件 夹 被 导向 到 服务 器 的 网 络 共享 文件 夹 后 ， 系 统管 理 员 可 通过 磁盘 配额 设 
置 ， 来 限制 用 户 的 文档 在 服务 器 内 可 使 用 的 磁盘 空间 。 

匀 文档 文件 夹 默认 是 与 操作 系统 在 同一 个 磁盘 内 的 ， 在 将 其 重 定 向 到 其 他 磁盘 后 ， 即 
使 操作 系统 磁 查 被 格式 化 、 重 新 安装 ， 也 不 会 影响 到 文档 内 的 文件 。 


3. 文件 夹 重 定向 的 其 他 设置 值 


可 以 通过 图 4-5-26 中 的 设置 选项 卡 来 设置 以 下 选项 〈 以 文件 文件 夹 为 例 ) =。 


外 授予 用 户 对 文档 的 独占 权限 


只 有 用 户 自己 与 系统 对 重 定向 后 的 新 文件 夹具 备 完 全 控制 的 权限 ， 其 他 用 户 无 任何 
权限 ， 系 统管 理 员 也 没有 权限 。 如 果 未 勾 选 此 选项 ， 则 会 继承 其 父 文件 夹 的 权限 。 


匀 将 文档 的 内 容 移 到 新 位 置 


它 会 将 原文 件 夹 内 的 文件 移动 到 重 定向 后 的 新 文件 夹 内 。 如 果 未 义 选 此 选项 ， 则 文 
件 夹 虽然 会 被 重 定向 ， 但 是 原文 件 夹 内 的 文件 仍然 会 被 留 在 原 地 。 


X 芭 B 性 


3 实 


图 45-26 


浊 也 将 重 定向 策略 应 用 到 Windows 2000、Windows 200 Server、Windows XP 及 Windows 


Server 2003 操 作 系 统 


重 定 向 策略 默认 只 会 被 应 用 到 新 版 的 Windows 系 统 ， 但 匀 选 此 选项 后 ， 便 可 以 应 用 


到 Windows 2000 等 旧 系 统 。 
站 策略 删除 


用 来 设置 当 组 策略 被 删除 后 ( 例如 GPO 被 删除 或 禁用 ) ， 是 否 要 将 文件 夹 重 定向 回 
原来 的 位 置 ， 软 认 是 不 会 ， 也 就 是 仍然 留 在 新 文件 夹 。 
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4.6 利用 组 策略 限制 访问 可 移动 存储 设备 


系统 管理 员 可 以 利用 组 策略 来 限制 用 户 访问 可 移动 存储 设备 〈removable storage device， 
例如 U 盘 ) ， 以 免 企业 内 部 员工 轻易 地 通过 这 些 存 储 设 备 将 重要 数据 带 离 公司 。 

以 组 织 单位 为 例 ， 如 果 是 针对 计算 机 配置 来 设置 这 些 策略 的 话 ， 则 任何 域 用 户 只 要 在 这 
个 组 织 单位 内 的 计算 机 登录 ， 就 会 受到 限制 ; 如 果 是 针对 用 户 配置 来 设置 这 些 策略 的 话 ， 则 


系统 总 共 提供 了 如 图 4-6-1 右 侧 所 示 的 策略 设置 〈 图 中 以 用 户 配 置 为 例 ) : 


本 三 证 人 
| 
中 二 河 忆 县 记 了 


匀 设置 强制 重新 启动 的 时 间 (以 秒 为 单位 ) 
有 些 策略 设置 必须 重新 启动 计算 机 才 会 应 用 ， 而 如 果 如 图 4-6-2 所 示 启 用 这 个 策略 的 
话 ， 则 系统 就 会 在 图 中 指定 的 时 间 到 达 时 自动 重新 启动 计算 机 。 


2 互 六 

站 aaawisammrarrE7t 上 EEEE 让 二 二 可 

Oamaa 二 | 

国 BaR | 

Demol as 一 
人 

站 加 

EEC 
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匀 CD 和 DVD: 拒绝 读 取 权 限 、 拒 绝 写 入 权限 
拒绝 用 户 读 取 或 写 入 属于 CD 与 DVD 类 的 设备 ( 包含 通过 USB 连 接 的 设备 ) 。 

匀 自 定义 类 : 拒绝 读 取 权 限 、 拒 绝 写 入 权限 
属于 同一 类 型 的 设备 会 拥有 相同 的 设备 类 型 (device setup class) ， 例 如 所 有 的 光驱 
都 是 隶属 于 CD ROM 设 备 类 型 ， 它 们 都 是 采用 相同 的 安装 与 设置 方式 。 设 备 类 型 代 
码 是 采用 32 个 字符 的 GUID 格 式 (也 就 是 XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX ) 、 
可 以 通过 设备 类 型 来 拒绝 用 户 读 取 或 写 入 到 拥有 此 GUID 的 存储 设备 。 
可 以 通过 设备 管理 器 来 查询 设备 的 GIUD， 以 Windows 10 中 的 光驱 为 例 : 【打开 计算 机 管 
理 设 备 管理 器 写 如 图 4.6-3 所 示 展 开 右 侧 的 DVD/CD-ROM 光 驱 纺 双击 光驱 设备 3 单 击 前 
景 图 中 的 详细 信息 选项 卡 马 在 属性 列表 中 选择 类 GUID 人 从 值 宇 段 可 得 知 其 GUID】. 


了 

六 村 们 理 YEUAI 王 V， 枯 RH 
kJEILET LE E 
| 大 ER 了 间 cc 
RET 7 


症 Po 和 1 是 秆 eawweweeEnG 员 
2 本 

“sd 生生 wmwmewwnesuhcom 
如 aa 明 

忆 aaRRr ,天 州 mam 

Peermemeteeg ,| 己 避 全 5 四 

Ne 一 
图 463 


接 下 来 利用 组 策略 来 拒绝 用 户 读 取 或 写 入 到 拥有 此 GUID 的 设备 ， 假 设 要 拒绝 用 户 写 
入 此 存储 设备 : 【双击 前 面 图 4-6-1 右 侧 的 自 定义 类 : 拒绝 写 入 权限 人 如 图 4-6-4 所 示 


选中 已 启用 了 单 击 细 员 以 包 2 输入 此 设备 的 GUID 后 单 击 细 全 按钮 】， 注 意 GUID 前 
后 需要 附加 大 括号 {- 


图 464 
习 软盘 驱动 器 : 拒绝 读 取 权 限 、 拒 绝 写 入 权限 
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拒绝 用 户 读 取 或 写 入 属于 软盘 驱动 器 类 型 的 设备 ( 包含 通过 USB 连 接 的 设备 ) - 

旬 可 移动 磁盘 : 拒绝 读 取 权 限 、 拒 绝 写 入 权限 
拒绝 用 户 读 取 或 写 入 属于 可 移动 磁盘 类 型 的 设备 ， 例 如 U 盘 或 外 接 式 USB 硬 盘 。 

包 所 有 可 移动 存储 类 : 拒绝 所 有 权限 
拒绝 用 户 访问 所 有 的 可 移动 存储 设备 ， 此 策略 设置 的 优先 权 高 于 其 他 策略 ， 因 此 如 
果 启 用 此 策略 的 话 ， 则 不 论 其 他 策略 设置 如 何 ， 都 会 拒绝 用 户 读 取 与 写 入 到 可 移动 
存储 设备 。 如 果 禁 用 或 未 配置 此 策略 的 话 ， 则 用 户 是 否 可 以 读 取 或 写 入 到 可 移动 存 
储 设备 ， 需 要 根据 其 他 策略 的 设置 而 定 。 

浊 磁带 驱动 器 : 拒绝 读 取 权限 、 拒 绝 写 入 权限 
拒绝 用 户 读 取 或 写 入 隶属 于 磁带 驱动 器 类 型 的 设备 ( 包含 通过 USB 连 接 的 设备 ) ， 


浊 WPD 设 备 ; 拒绝 读 取 权限 、 拒 绝 写 入 权限 


拒绝 用 户 读 取 或 写 入 隶属 于 WPD ( Windows Portable Device ) 的 设备 ， 例 如 移动 电 
话 、 媒 体 播 放 器 、Windows、CE 等 设备 。 


4.7 WMI 筛 选 器 


我 们 知道 如 果 将 GPO 链 接 到 组 织 单位 后 ， 该 GPO 的 设置 值 默 认 会 被 应 用 到 此 组 织 单位 内 


的 所 有 用 户 与 计算 机 ， 如 果 要 改变 这 个 默认 值 的 话 ， 可 以 有 以 下 两 种 选择 : 


让 通过 前 面 介绍 的 筛选 组 策略 设置 中 的 委派 选项 卡 来 选择 欲 应 用 此 GPO 的 用 户 或 计算 机 。 
六 通过 本 节 所 介绍 的 WMI 委 选 器 来 设置 。 
举例 来 说 ， 假 设 已 经 在 组 织 单位 业务 部 内 建立 测试 用 GPO， 并 通过 它 来 让 此 组 织 单 
位 内 的 计算 机 自动 安装 所 指定 的 软件 ( 后 面 章节 会 介绍 ) ， 不 过 却 只 想 让 64 位 的 
Windows 10 计 算 机 安装 此 软件 ， 其 他 操作 系统 的 计算 机 并 不 需要 安装 ， 此 时 可 以 通 
过 以 下 的 WMI 筛 选 器 设置 来 达到 目的 。 


STEP 杰 如 图 4-7-1 所 示 【 选 中 WMI 旷 选 器 并 右 击 新 建 ] 。 


翅 扯 所 本 村主 一 订 [ 半 
| 荆 m_ am 3 en Wo -2 
中 ;五 和 | 目 | 云 | 目 本 


加 EECTOECTIETTIE 


[ “” Go 有 
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STEP 四 在 图 4-7-2 中 的 名 称 与 描述 字段 分 别 输入 适当 的 文字 说 明 后 单 击 涨 凋 寺 钮 。 图 中 将 名 称 
设置 为 Windows 10 ( 64 位 ) 专用 的 筛选 器 。 


新 建 WMI 苇 迁 器 X 
名 称 (NF 
Windows10 ( 54 位 ) 专用 的 入 远 器 
搞 述 (D) 
查 (Q): 
证 Ca 
攻 到 
本 
图 472 
STEP 在 图 4-7-3 中 的 命名 空间 处 选用 默认 的 rooMCIMv2， 然 后 在 查询 处 输入 以 下 的 查询 命令 
( 后 述 ) 后 单 击 宙 轴 按钮 
Select * from Win32_ OperatingSystem Where VeESiORGRG 10508 End 
ProductType = "1" 
WMI 查询 芭 
命名 空间 (N): 
rootCIMv2 - 济 (B)- 
查询 (Qh: 
and productType = "1 
图 473 
STEP 四 对 


复 在 前 面 的 图 4-7-2 单 击 尽 油 按 钮 ， 然 后 如 图 4-7-4 所 示 在 查询 处 输入 以 下 的 查询 命 
令 ( 后 述 ) 后 单 击 两 次 蔗 芭 坊 钮 ， 此 命令 用 来 选择 64 位 的 系统 ， 


Select * from  n32_Processor Where，RPddressWidth="64" 


WMI 查询 共 


命名 空间 IN): 
rootNCIMv2 


查询 (Q): 
Select "from Win32 processor where AddressWidth="64" 六 


图 474 
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STEP 回 。 在 图 4-7-5 中 单 击 栋 乔 按 钮 。 


新 建 WMI 沪 迁 器 X 
名 称 (N): 
| Windows10 ( 64 位 ) 专用 的 入 迁 跨 
辆 述 [D): 
查询 (Q) 
RAR [| 
Te FE 
-osvcma 生生 oa | 
rssidbhr gd 
[ 医 - 到 | 
豆 
图 47-5 
STEP 回 ”在 图 4-7-6 中 测试 用 的 GPO 右 下 方 的 WMI 衢 选 处 选择 刚才 所 建立 的 Windows 10 ( 64 


位 ) 专用 的 筛选 器 。 


一 

hm ar 得 M_mD Rs 
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组 织 单位 业务 部 内 所 有 的 Windows 10 客 户 端 都 会 应 用 测试 用 GPO 策 略 设置 ， 但 是 其 他 
Windows 系 统 并 不 会 应 用 此 策略 。 可 以 到 客户 端 计 算 机 上 通过 执行 gpresuit 命令 来 查看 应 用 
了 哪些 GPO， 如 图 4-7-7 所 示 为 在 一 台 位 于 业务 部 内 的 Windows 8.1 客 户 端 上 利用 gpresult /r 命 
令 所 看 到 的 结果 ， 因 为 测试 用 的 GPO 搭 配 了 Windows 10〈64 位 ) 专用 的 筛选 器 ， 故 Windows 
8.1 计 算 机 并 不 会 应 用 此 策略 〈 被 WMI 筛 选 器 拒绝 ) 。 


图 14 
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图 47-7 
图 4-7-3 中 的 命名 空间 是 一 组 用 来 管理 环境 的 类 〈class) 与 实例 〈instance) 的 集合 ， 系 统 
内 包含 着 各 种 不 同 的 命名 空间 ， 以 便于 通过 其 中 的 类 与 实例 来 管控 各 种 不 同 的 环境 ， 例 如 命 
名 空间 CIMv2 内 所 包含 的 是 与 Windows 环 境 有 关 的 类 与 实例 。 
图 4-7-3 中 的 查询 字段 内 需要 输入 WMI 查询 语言 (WQL) 来 执行 筛选 工作 ， 其 中 的 
Version like 后 面 的 数字 所 代表 的 意义 如 表 4-7-1 所 示 : 
表 4-7-1 
Windows 版 本 Version 
Windows 10 与 Windows Server 2016 10.0 
Windows 8.1 与 Windows Server 2012 R2 63 
Windows 8 与 Windows Server 2012 62 
Windows 7 与 Windows Server 2008 R2 6.4 
Windows Vista 与 Windows Server2008 6.0 
Windows Server 2003 52 
Windows XP 5.1 


而 ProductType 右 侧 的 数字 所 代表 的 意义 如 表 4-7-2 所 示 。 


表 4-7-2 
ProductType 所 代表 的 意义 
1 客户 端 等 级 的 操作 系统 ， 例 如 Windows 10、Windows 8.1 
2 服务 器 等 级 的 操作 系统 并 且 是 域 控制 器 
3 服务 器 等 级 的 操作 系统 ， 但 不 是 域 控制 器 


综合 以 上 两 个 表格 的 说 明 后 ， 我 们 在 表 4-7-3 中 列举 几 个 WQL 范 例 命令 。 
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表 4-7-3 
要 筛选 的 系统 | 可 用 的 WQL 命 令 范 例 - 
六 与 32 亿 select *# fom Win32_OperatingSystem Where Version Tike "10.0%”and 
Windows 10 (64 位 与 32 位 ) ProductType=wlnw 
select * fom Win32_OperatingSystem Where Wersion like "10.0%”and| 
Windows 10 64 位 ) ProductType= "1" 
Select# 作 om Win32_Processor Where AddressWidth="64” 
Select * 他 om Win32_OperatingSystem where Version like "10.0%" and 
Windows 10 (32 位 ) ProductType="1” 
select* from Win32_Processor Where AddressWidth="32” 
Ex 和 Select *# from Win32_OperatingSystem where Version like "6,3%" and| 
Windows 8.1 《64 位 与 32 位 》 ProductType=nly 
select * from Win32_OperatingSystem where Version like "6.3%" and| 
Windows 8.1 (64 位 ) ProductType="1" 
Select* from Win32_Processor where AddressWidth="64" 
select *# from Win32_OperatingSystem where Version like "6.3%"”and 
Windows 8.1 (32 位 ) ProductType="i" 
Select *# 他 om Win32_Processor Where AddressWidth="32” 
本 select *# 放 om Win32_OperatingSystem where Version like "10.0%" and 
Windows Server2016 域 控制 器 ProductType=w2" 
总 select + 他 om Win32_ OperatingSystem Where Version like "10.0%0"” and 
Windows Server2016 成 员 服务 器 ProductType=w3" 
Windows 10 与 Windows Server2016 | select* from Win32_OperatingSystem Where Version like "10.0%0” 
汪 select * ffom Win32_OperatingSystem Where Version like "6.3%"” and 
Windows Server2012 R2 域 控制 器 ProductType="2" 
本 select * 人 fom Win32_OperalingSystem where Version like "6.3%" and 
Windows Server 2012 R2 成 员 服务 器 ProduetType="3" 
Windows 8.1 与 Windows Server2012 R2 | select * from Win32_OperatingSystem where Version like "6.396" 
select * from Win32_ OperatingSystem where Version like "6.2%" and| 
inaow98 ProductType="lv 
AR select + from Win32 OperatingSystem where Version like "6.1%" and| 
ProductType="I" 
Windows Vista select * 人 om Win32_OperatingSystem Where Version like ”6.09%”and| 


ProductType= "1” 


Windows Server 2012 R2 与 Windows 
Server 2012 成 员 服务 器 


select * 人 om Win32_OperatingSystem Where 
Version like "6.2%") and 


ProductTyYpe="3” 


《Version like "6.3%" or 


Windows 8.1、Windows 8、Windows| 
7、Windows Vista 


select * from Win32_OperatingSystem wbere 
ProductType="1” 


Version Like "6,%o” and 


Windows 8.1、Windows Server 2012| 
R2 成 员 服务 器 


select *#+ from Win32_OperatingSystem Where 
ProductType< 一 "2 


Version like "6.39%" and 


Windows XP 


Select 他 om Win32_OperatingSystem where Version like "5.190" 


Windows XP Service Pack 3 


select * from Win32_DperatingSystem Where 
ServicePackMajorVersion=3 


Version like “5.1%6”and| 


Windows XP Service Pack2〈 含 ) 以 上 


select + from Win32_OperatingSystem where 
ServicePackMajorVersion>=2 


Version like "5,1%" and 
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4.8 组 策略 建 模 与 组 策略 结果 


可 以 通过 组 策略 建 模 〈Group Policy Modeling) 来 针对 用 户 或 计算 机 模拟 可 能 的 情况 ， 
例如 某 用 户 账户 当前 是 位 于 甲 组 织 单位 内 ， 某 计算 机 账户 目前 是 位 于 乙 容器 内 ， 而 我 们 想 要 
知道 未 来 如 果 该 用 户 或 计算 机 账户 被 移动 到 其 他 容器 时 ， 该 用 户 到 此 计算 机 上 登录 后 ， 其 用 
户 或 计算 机 策略 的 设置 值 。 另 外 ， 在 当前 现 有 的 环境 之 下 ， 如 果 想 要 知道 用 户 在 某 台 计算 机 
登录 之 后 ， 其 用 户 与 计算 机 策略 设置 值 的 话 ， 可 以 通过 组 策略 结果 〈Group Policy Result) 来 
提供 这 些 信息 。 

1. 组 策略 建 模 

我 们 将 利用 图 4-8-1 的 环境 来 练习 组 策略 建 模 。 图 中 用 户 账户 陈 玛 莉 〈mary) 与 计算 机 账 
户 Win10PC1 目 前 都 是 位 于 组 织 单位 业务 部 内 ， 而 如 果 用 户 账 户 陈 玛 莉 〈mary) 与 计算 机 账户 
Win10PC1 未 来 都 被 移动 到 组 织 单位 金融 部 ， 此 时 如 果 用 户 陈 玛 莉 〈mary ) 到 计算 机 
Win10PC1 上 登录 的 话 ， 其 用 户 与 计算 机 策略 设置 值 可 以 通过 组 策略 建 模 来 事先 模拟 。 


区 Acive cirectory 本 EL 


Active Director,、《” 业 浊 由 9) 二 


E [二 sa 局 杞 
本 6 
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STEP 四。 出 现 欢迎 使 用 组 策略 建 模 向 导 界面 时 单 击 请 和 于 以 钮 。 
STEP 贺 。 由 于 需要 指定 一 台 至 少 是 Windows Server 2003 域 控制 器 来 执行 模 


图 4-8-3 来 选择 域 控制 器 ， 图 中 我 们 让 系统 自行 挑选 。 


STEP 四 。 在 图 4-8-4 中 分 别 选择 要 练习 的 用 户 账户 mary 与 计算 机 账户 Winl0PC1 后 单 击 铺 吉 扩 


钮 。 


STEP 


于 示 此 培 直 的 域 将 制 (S 
maioeal 二 一 2 
而 量 上 处 理 多 所: 
图 任 阿 可 用 的 运行 Windows Server 2003 或 更 新 乒 本 的 吉 扩 器 [A) 
OurasM 有 (D 
3 了 外 
DCtaaymaloaal DefeurFrst-she -Name 
DCzsaymalocal DefauhFirstshe -Nama 


图 48-3 


组 生 覆 建 模 册 号 
你 可 以 查看 选 定 用 户 成帝 用 户 信 息 的 客 可 } 和 计算 机 (或 齐 计算 机 信息 的 容器 ) 的 模拟 策 覆 设置. 
示 8 罕 要 和 称 : CN=UserxDC=saymsDC=local 
地 有 SayMswdminisator 
为 下 史 用户 或 计算 WE 二 了 设 : 
用 六 人 
DC 
国 用 EEEZ2 区 一 
计 有 人 思 
Or 民 二 
Han SSwRiIGRG 3 
图 484 


在 图 4-8-5 中 选择 慢 速 连接 是 否 要 处 理 策 略 、 是 否 要 采用 环 回 处 理 模式 等 。 完 成 后 单 击 


于 本 eu. 


STEP 回 ”由 图 4-8-6 的 背景 


以 工 作 ， 因 此 请 通过 


中 可 知 用 户 账户 ( 陈 玛 莉 ，mary ) 与 计算 机 账户 ( Winl10PCI ) 目 
前 都 是 位 于 组 织 单位 业务 部 ， 请 和 通 壹 病 技 钮 来 将 其 模拟 到 未 来 的 位 置 ， 也 就 是 前 景 
图 中 的 组 织 单位 金融 部 。 单 击 户 和 测 技 钮 。 
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STEP 


国 天 st. 


iso- | 
> EE 
-还原 为 二 认 什 (R) 
图 4846 


在 图 4-8-7 中 的 背景 与 前 景 图 会 分 别 显 示 用 户 与 计算 机 账户 当前 所 属 的 组 
话 ， 可 通过 单 击 疆 曾 拉 钮 来 模拟 他 们 未 来 会 未 属 的 组 。 图 中 两 个 界面 我 人 


， 有 需要 的 
都 直接 单 击 


二 X 
人 2 区 
ES 
Fi | 
sinaRPasapanL ssaRGIGE 本 
安全 给 (U: 
SaYMSVDomain Admine 实 全 仍 (C- 
Endtna 
[Eryone 
SSEonen conpaon 
EL | 
EL -| 本 
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STEP 回 在 图 4-8-8 中 的 背景 与 前 景 图 会 分 别 显 示 用 户 与 计算 机 账户 目前 所 应 用 的 WMI 季 先 
器 ， 有 需要 的 话 ， 可 通过 单 击 轿 兽 按钮 来 模拟 他 们 未 来 会 应 用 的 WMI 筛 选 器 。 图 中 
两 个 界面 我 们 都 直接 单 击 记 汪 玉 钮 。 


岳 呈 如 检 内 X 


用 户 的 WMI 短 各 = 
作 可 以 下 机 中 自 括 Windows Mansgement instrumentation (WMI 辽 括 量 ， 


图 488 
STEP 回 ”确认 选择 的 摘要 界面 的 设置 无 误 捕 单 击 戎 和 | 拉 钮 。 
STEP E 四 出 现 正在 完成 组 策略 建 模 向 导 界 面 时 单 击 回避 撤 钮 。 
STEPE 加 完成 后 ， 通 过 图 4-8-9 右 侧 3 个 选项 卡 来 查看 模拟 运行 的 结果 。 


SAYMSNWIN10PC1 上 的 SAYMSNmary 
和 机 怕 侨 时间: 2018/717 224755 


图 489 


我 们 将 利用 图 4-8-10 的 环境 来 练习 组 策略 结果 。 我 们 想 要 知道 图 中 用 户 账户 陈 玛 莉 
Cmary) 到 计算 机 Win10PC1 登 录 后 的 用 户 与 计算 机 策略 的 设置 值 。 


园 5 
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主 Acive Directory 车 理 中 心 二 ;了 :“ 洲 


妖 Active Director、“ 业 5 可 9 4 玫 


E | 王 3 六 回 自 


wiiopcn < 
斑 “ 了 - 
央 庆 003 
生计 am 机 
Computers 
部 惠 
本 艳 动 -， 
本 沪 访 有 从 人 ， 加 
PS WINTOPC1 理性 
Windows PowerShell 历史 记录 OO 
图 48-10 


STEP 税 ”如果 用 户 陈 玛 莉 ( mary ) 还 没有 到 计算 机 Win10PC1 登 录 的 话 ， 请 先 登录 。 
STEP 回 。 请 到 域 控制 器 上 以 系统 管理 员 身 份 登录 、 执 行 组 策略 管理 、 如 图 4-8-11 所 示 【 选中 组 
策略 结果 并 右 击 3 组 策略 结果 向 导 】 。 


亏 组 第 下 各 理 - 口 x 
昌文 HP。 一 fRA)， 亚 看 M， 赣 DW， 帮助 H) 四 上 7 莉 
和 史 | 直 加 | 日 四 


图 48-11 


STEP 回 。 出 现 欢迎 使 用 组 策略 结果 向 导 界 面 时 单 击 计 天 以 钮 。 
STEP 四 。 在 图 4-8-12 中 选择 要 查看 的 域 成 员 计算 机 Win10PC1 后 单 击 访 站 因 技 钮 


图 48-12 
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先 将 此 域 成 员 计算 机 Win10PC1 的 Windows 防 火 墙 关闭 ， 否 则 无 法 连接 此 计算 机 。 


STEP 回 在 图 4-8-13 中 选择 域 用 户 mary ( 陈 玛 莉 ) 后 单 击 训 生 昱 寺 钮 。 只 有 当前 登录 的 月 户 与 
曾经 登录 过 的 用 户 账户 可 以 被 选择 。 


SAYMSVadministrator 


SAYMSVPeter 


图 48-13 


STEP 回 。 确认 选择 的 摘要 界面 中 的 设置 无 误 后 单 击 请 寺 以 钮 。 
STEP 园 。 出 现 正在 完成 组 策略 结果 向 导 界 面 时 单 击 荐 避 以 钮 。 
4-8-14 右 例 3 个 选项 卡 来 查看 结果 。 


STEP 回 ”通过 图 
最 组 第 熙 芭 理 一 如 X 
旺 文 #HD 一 fEIA) 查看 (V)。 量 口 (W) 大 动 (H) - 四 环 
各 中 | 十 亲 | 区 | 目 辑 
也 旨 第 路 车 至 
总 床 smymslocal 
过 丽 站 - 
> 二 cameaa A 
>》 唇 色 A SAYMIS\DC1 上 的 SAYMSvmary 
》 钠 坦 项 呈 毁 下) 同 20181717 230159 目 
“天 2 5 
民 | “bnpaIiHWg Rd 风 201a117 225904 吉 
LSssssessssss ， | 
图 48-14 


4.9 组 策略 的 委派 管理 


可 以 将 GPO 的 链接 、 新 建 与 编辑 等 管理 工作 ， 分 别 委派 给 不 同 的 用 户 来 负责 ， 以 分 散 与 
减轻 系统 管理 员 的 管理 负担 。 


贺 ;as 
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4.9.1 站 点 、 域 或 组 织 单位 的 GPO 链 接 委 派 


可 以 将 连接 GPO 到 站 点 、 域 或 组 织 单位 的 工作 委派 给 不 同 的 用 户 来 执行 ， 以 组 织 单位 业 
务 部 为 例 ， 可 以 如 图 4-9-1 所 示 单 击 组 织 单位 业务 部 后 ， 通 过 委派 选项 卡 来 将 链接 GPO 到 此 组 
织 单位 的 工作 委派 给 用 户 ， 由 图 中 可 知 默认 是 Administrators 、Domain Admins 或 Enterprise 
Admins 等 组 内 的 用 户 才 拥 有 此 权限 。 还 可 以 通过 界面 中 的 权限 下 拉 列 表 来 设置 执行 组 策略 建 


模 分 析 与 读 取 组 策略 结果 数据 这 两 个 权限 。 
羡 二 作答 至 一 局 X 
世 六 后 HEA， 五 看， 本 DO) 了 二 
中 中 | 十 厅 | G| 目 加 
本 亚 吾 
六 本 cmalooy 全 失当 和 对 生 
汪 二 下 列 明 和 用 户 具有 此 00 的 过 定 机 抽 “ 
“而 ER 
， 国 到 [本 3 ] 
人 | 取 wdnioiuiaore IRON X 放 是 
办 use | 五 pems Adie Ay- GaN 弥 。 理 | 
国 2 Re 和 旺 | 
1 丙 Re 昌 塘 生 本 三 玖 于 二 二 可 ta | 
几 Er [| 


4.9.2 ”编辑 GPO 的 委派 

默认 是 Administrators 、Domain Admins 或 Enterprise Admins 组 内 的 用 户 才 有 权限 编辑 
GPO， 如 图 4-9-2 所 示 为 测试 用 的 GPO 的 默认 权限 列表 ， 可 以 通过 此 界面 来 赋予 其 他 用 户 权 
限 ， 这 些 权限 包含 读 取 、 编 辑 设置 与 “编辑 设置 、 删 除 、 修 改 安全 性 ”3 种 。 


谣 让 第 获知 理 一 口 X 
最 文 #， 各 fEA 下 要 MI 自 DW 天助 H) EL 
各 中 | 二 呵 | G| 目 台 
二 提醒 瑟 理 <][ 测 区 用 的 cPo 
外 林 camalool 作用 情话 细 信 息 “设置 
~“ 这 些 组 和 用 户 梓 有 此 5P0 积 随 
的 四 旭 和 用 户 (GF 二 人 
si 名 你 的 B 限 已 和 了 | 


起 Domain Admine SAvVMS ”人 和 时 有， 信安 全 性 
巧 Enterprise Admins (SAY-。 二 要 谤 古国， 俐 改 安全 性 
二 ENTERPRISE DOMAIN C- 训 了 
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4.9.3。 新 建 GBPO 的 委派 


默认 是 Domain Admins 与 Group Policy Creator Owners 组 内 的 用 户 才 有 权限 新 建 GPO 〈 如 
图 4-9-3 所 示 ) ， 也 可 以 通过 此 界面 来 将 此 权限 赋予 其 他 用 户 。 


和 中 | 十 而 | 忆 | 目 可 


FE 


“sayase lacal” 中 的 “ 钥 策 赂 对 象 拉 
后 

下 列 曝 条 户 可以 在 此 域 中 创建 ro > 

全 和 用 记 人 GF 


包 际 
局 Domsin Admins SAyMSVDomein Adming) 理 
耻 Group poioy Creator Owners SAYMSWGroup Poly cre。 理 
取 ssTEM 天 


RE 


Group Policy Creator Owners 纪 


图 49-3 


内 的 用 户 在 新 建 GPO 后 ， 他 就 是 这 个 GPO 的 所 有 者 ， 


此 


他 对 这 个 GPO 拥 有 完全 控制 的 权限 ， 所 以 可 以 编辑 这 个 GPO 的 内 容 ， 不 过 他 却 没有 权限 编辑 


其 他 的 GPO。 


WMI 筛选 器 的 委派 


系统 默认 是 Domain Admins 与 Enterprise Admins 组 内 的 用 户 才 有 权限 在 域内 建立 新 的 WMI 
筛选 器 ， 并 且 可 以 修改 所 有 的 WMI 筛 选 器 ， 如 图 4-9-4 所 示 中 的 完全 控制 权限 。 而 
Administrators 与 Group Policy Creator Owners 组 内 的 用 户 也 可 以 建立 新 的 WMI 筛 选 器 与 修改 其 
自行 建立 的 WMI 筛 选 器 ， 不 过 却 不 能 修改 其 他 用 户 所 建立 的 WMI 筛 选 器 ， 如 图 4-9-4 所 示 中 的 
创建 者 所 有 者 权限 。 也 可 以 通过 此 界面 将 权限 赋予 其 他 用 户 。 


塌 四 护理 


EECELIEI 


对 六 km afEA， 8 碍 Do WOH 


-了 


“| “sayasxlacal” 中 的 “mII 贺 选 器 ” 


六 青 
这 些 组 和 用 户 且 有 此 博 中 所 有 mLI 宵 先 器 的 指定 权限 


卫 Enterprise Admins SAY- 完全 控制 
三 Group Fofeoy Creator 0 ” 闻 于 所 有 大 


"| EEEEI NE 辣 斌 


国 ;se 


图 494 
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Group Policy Creator Owners 组 内 的 用 户 ， 在 新 建 WMI 筛 选 器 后 ， 他 就 是 此 WMI 筛 选 器 的 
所 有 者 ， 因 此 他 对 此 WMI 筛 选 器 拥有 完全 控制 的 权限 ， 所 以 可 以 编辑 此 WMI 筛 选 器 的 内 容 ， 
不 过 他 却 没有 权限 编辑 其 他 的 WMI 筛 选 器 。 


4.10 StarterGPO 的 设置 与 使 用 


StarterGPO 内 仅 包 含 管理 模板 的 策略 设置 ， 可 以 将 经 常会 用 到 的 管理 模板 策略 设置 值 创 
建 到 StarterGPO 内 ， 然 后 在 建立 常规 GPO 时 ， 就 可 以 直接 将 StarterGPO 内 的 设置 值 导入 到 这 
个 常规 GPO 内 ， 如 此 便 可 以 节省 建立 常规 GPO 的 时 间 。 建 立 StarterGPO 的 步骤 如 下 所 示 : 


STEP 如 图 4-10-1 所 示 【 选 中 StarterGPO 并 右 击 32 新建] 。 


蕊 所 二 可 至 二 
基文 #D 强 fEA) 查看 MI 面 DOW) 邦和 (H 加 | 
和 中 | 由 四 | 日 | 送 | 目 四 

^||“sayas-1local” 中 的 “Starter GEPO” 


图 410:1 


可 以 不 需要 单 击 界面 右 仙 的 油 建 RE 区 本 区 ， 因 为 在 建立 第 1 个 StarterGPO 时 ， 
它 也 会 自动 建立 此 文件 夹 ， 此 文件 来 的 名 称 是 StarterGPOs， 它 是 位 于 域 控制 器 的 sysvol 


# 享 文件 夹 之 下 。 | 
STEP 回 。 在 图 4-10-2 中 为 此 StarterGPO 设 置 名 称 与 输入 注释 后 单 击 咽 弹 扩 钮 
新 寻 Starter GPO X 
名 降 (N): 
测试 用 Starter GPO 
ia: 
图 4102 
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STEP 回 ”在 图 4-10-3 中 【选中 此 StarterGPO 并 右 击 2 编辑 ] 。 


关 刘 生 由 各 理 口 “X 
> 强 fSA) 下 看) 血 DW)。 (H) 
和 路 | 去 团 | 与 | 以 划 | 目 品 
羡 包 本 saymalocal “| 测试 用 starter GPO 
盖 油 过 
评 :aymalocal 
恒 Defauh Domain Poly 
，》 司 Domain contolers 


二 


图 4103 
STEP 四 。 通过 图 4-10-4 来 编辑 计算 机 与 用 户 设置 的 管理 模板 策略 。 


司 组 第 赂 Starter GPO 入 肖 泛 
文 #P。 强 fSA)， 查看 M)。 大助 H) 
和 中 | 加 | 目 孔 | 目 回 


本 和 用 Starter GPO TDCHsaymslocall Starter GPG | 名称 
Y 旦 计算 fi 机 秋 县 计算 WP 重 
》 轴 管理 模板 志 用户 本 到 
Y 公用 六 配置 
+ 加 草民 本 
图 4104 


完成 StarterGPO 的 建立 与 编辑 后 ， 之 后 在 建立 常规 GPO 时 ， 就 可 以 如 图 4-10-5 所 示 选 择 
从 这 个 StarterGPO 来 导入 其 管理 模板 的 设置 值 。 


新 建 GPO X 


第 5 章 ， 利 用 组 策略 部 署 软件 


可 以 通过 AD DS 组 策略 来 为 企业 内 部 用 户 与 计算 机 部 署 〈deploy) 软件 ， 也 就 是 自动 为 
这 些 用 户 与 计算 机 安装 、 维 护 与 删除 软件 。 


妆 


忆 
妆 
站 
忌 


软件 部 署 概述 

将 软件 发 布 给 用 户 

将 软件 分 配给 用 户 或 计算 机 
将 软件 升级 

部 署 Adobe Acrobat 
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5.1 软件 部 署 概述 


可 以 通过 组 策略 来 将 软件 部 署 给 域 用 户 与 计算 机 ， 也 就 是 域 用 户 登 录 或 成 员 计 算 机 启动 
时 会 自动 安装 或 很 容易 安装 被 部 署 的 软件 ， 而 软件 部 署 分 为 分 配 《assign) 与 发 布 《publish) 
两 种 。 一 般 来 说 ， 这 些 软件 需 为 Windows Installer Package 〈 也 被 称 为 MSI 应 用 程序 ) ， 也 就 
是 其 中 包含 着 扩展 名 为 .msi 的 安装 文件 。 


IEED 


也 可 以 部 署 扩展 名 为 ,zap ( 因 限制 很 多 且 不 实用 ， 故 不 在 本 书 的 讨论 范围 ) 或 .msp 的 软 
件 ， 或 是 将 安装 文件 为 .exe 的 软件 封装 成 为 .msi 的 Windows Installer Package ( 可 使 用 
EMCOMSI Package Builder 等 软件 ) 。 


5.1.1 将 软件 分 配给 用 户 


当 将 一 个 软件 通过 组 策略 分 配给 域 用 户 后 ， 用 户 在 任何 一 台 域 成 员 计算 机 登录 时 ， 这 个 
软件 会 被 通告 advertised) 给 该 用 户 ， 但 此 软件 并 没有 被 安装 ， 而 是 可 能 会 设置 与 此 软件 有 
关 的 部 分 信息 而 已 ， 例 如 可 能 会 在 开始 窗口 或 开始 菜单 中 自动 建立 该 软件 的 快捷 方式 《这 取 
决 于 该 软件 是 否 支持 此 功能 而 定 ) 。 

用 户 通过 单 击 该 软件 在 开始 窗口 〈 或 开始 菜单 ) 中 的 快捷 方式 后 ， 就 可 以 安装 此 软件 。 
用 户 也 可 以 通过 控制 面板 来 安装 此 软件 ， 以 Windows 10 客 户 端 为 例 ， 其 安装 方法 为 【 按 田 ! 贺 
键 3 输 入 control 后 按 项 辆 链 23 单 击 程序 处 获得 程序 】。 


5.1.2， 将 软件 分 配给 计算 机 


当 将 一 个 软件 通过 组 策略 分 配给 域 成 员 计算 机 后 ， 这 些 计 算 机 启动 时 就 会 自动 安装 这 个 
软件 《完整 或 部 分 安装 ， 视 软件 而 定 )》， 而 且 任何 用 户 登 录 都 可 以 使 用 此 软件 。 用 户 登 录 
后 ， 就 可 以 通过 桌面 或 开始 窗口 〈 或 开始 菜单 ) 中 的 快捷 方式 来 使 用 此 软件 。 


5.1.3 “将 软件 发 布 给 用 户 


当 将 一 个 软件 通过 组 策略 发 布 给 域 用 户 后 ， 此 软件 并 不 会 自动 被 安装 到 用 户 的 计算 机 
内 ， 不 过 用 户 可 以 通过 挤 制 面板 来 安装 此 软件 ， 以 Windows 10 客 户 端 为 例 ， 其 安装 方法 为 
【 按 田 | 图 键 输 入 control 后 按 贺 辆 链 忆 单 击 程序 处 获得 程序 】。 


图 1eo 
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IEED 


只 能 向 计算 机 分 配 软件 ， 无 法 向 计算 机 发 布 软件 


5.1.4 自动 修复 软件 Te 


被 发 布 或 分 配 的 软件 可 以 具备 自动 修复 的 功能 〈 视 软件 而 定 ) ， 也 就 是 客户 端 在 安装 完 
成 后 ， 如 果 此 软件 程序 内 有 关键 性 的 文件 损毁 、 遗 失 或 不 小 心 被 用 户 删 除 的 话 ， 则 在 用 户 运 
行 该 软件 时 ， 其 系统 会 自动 检测 到 此 不 正常 现象 ， 并 重新 安装 这 些 文件 。 


5.1.5 删除 软件 


一 个 被 发 布 或 分 配 的 软件 ， 在 客户 端 将 其 安装 完成 后 ， 如 果 不 想 再 让 用 户 使 用 此 软件 的 
话 ， 可 在 组 策略 内 从 已 发 布 或 已 分 配 的 软件 列表 中 将 此 软件 删除 ， 并 设置 下 次 客户 端 应 用 此 
策略 时 《例如 用 户 登 录 或 计算 机 启动 时 ) ， 自 动 将 这 个 软件 从 客户 端 计算 机 中 删除 。 


5.2 ”将 软件 发 布 给 用 户 


以 下 沿用 前 几 章 的 组 织 单位 业务 部 中 的 测试 用 的 GPO 来 练习 将 MSI 应 用 程序 ( Windows 
JInstaller Package) 发 布 给 业务 部 内 的 用 户 ， 并 让 用 户 通过 控制 面板 来 安装 此 软件 。 如 果 还 没 
有 建立 组 织 单位 业务 部 与 测试 用 的 GPO 的 话 ， 请 先 利 用 Acetive Directory 管 理 中 心 〈 或 Active 
Direetory 用 户 和 计算 机 ) 与 组 策略 管理 来 建立 ， 并 在 业务 部 内 新 建 多 个 用 来 练习 的 用 户 账 
户 。 


5.2.1 发 布 软件 


以 下 步骤 将 先 建立 软件 发 布点 〈software distribution point， 也 就 是 用 来 存储 MSI 应 用 程 
序 的 共享 文件 夹 ) 、 接 着 设置 软件 默认 的 存储 位 置 、 最 后 将 软件 发 布 给 用 户 。 以 下 将 利用 免 
费 的 文字 编辑 软件 AkelPad 来 练习 ， 请 自行 上 网 下 载 。 


AkelPad 原 安装 文件 是 .exe 可 执行 文件 ， 不 过 笔者 已 将 其 重新 包装 为 MSI 应 用 程序 ， 此 软 
件 与 原始 程序 可 到 其 堂 网 站 下 载 ( http://books.gotop.com.tw/download /ACA024500 ) 。 


STEP 税 ”请 在 域 中 的 任何 一 台 服 务 器 内 ( 假设 为 dcl ) 建立 一 个 用 来 作为 软件 发 布点 的 文件 
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夹 ， 例 如 CAPackages， 它 将 用 来 存储 MSI 应 用 程序 ( Windows Installer Package ) ， 倒 
如 我 们 要 用 来 练习 的 软件 为 AkelPad 4.4.3 版 。 
STEP 加 。 将 此 文件 夹 设 定 为 共享 文件 夹 、 赋 予 Everyone 读 取 的 共享 权限 。 
| 其 共享 名 默认 为 文件 夹 名 称 Packages， 建 议 将 共享 文件 夹 隐藏 起 来 ， 也 就 是 将 共享 名 最 
_ 后 一 个 字符 设置 为 $ 符 号 ， 例 如 Packages$。 


STEP 图 。 在 此 共享 文件 夹 内 建立 用 来 存放 AkelPad 4.4.3 的 子 文件 夹 ， 然 后 将 AkelPad 4.4.3 复 制 


到 此 文件 夹 内 ， 如 图 5$-2-1 所 示 。 

ii 日 二 | AkelPad4a3 一 互 和 
有 E 汪 =<  :*= = e@ 
这 -相机 车 (Cj ，padages ，Akelped44 ) kelreda43 的 

1 吾 ”2 人 日 央 ] 录 
一 basinm 局 Program Fios 20181716 1524 。 文件 夫 
1 早 inepob 莉 显 Akelped443 msi aoia11a1837 。 Windowsinsoll-。 5975KB 
而 maalauonMedie 
pdaoen 
了 apadh 四 IERRRRRRRRRGRGRGRGRGRGRGRGRGRGRGRGRGRGRGRGE| y 
2 9 局 
图 2-1 


STEP 四 。 接着 设 定 软件 默认 的 存储 位 置 : 在 域 控制 器 上 【 单 击 堪 下角 开始 图 标 因 3Windows 管 
理工 具 驴 组 策略 管理 纺 展 开 到 组 织 单位 业务 部 与 选中 测试 用 的 GPO 并 右 击 2 编 辑 3 在 
5-2-2 中 展开 用 户 配置 忆 策略 软 件 设置 2 软件 安装 3 单 击 上 方 的 属性 图 标 ] 。 


本 直系 中 符 班 六壬 字 友人 
文 析 中。 硬 fEA) _ 雪 看) 更 如 (H) 

证 下 器 汪 T 生 

司 和 试用 的 GPO [DC1SAYMSLOCA | 乞 称 版 本 。 部 要 状 态 闲 逐 

> 旦 计 耻 WaR 要 


) 疝 Windows 汉王 六 


图 522 
STEP 回 ”在 图 5-2-3 中 的 默认 程序 数据 包 位 置 处 输入 软件 的 存储 位 置 ， 注 意 必须 是 UNC 网 络 路 
径 ， 例 如 vdel\Packages。 完成 后 单 击 狂 芽 技 钮 
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? 习 
atB)- 
图 523 
STEP 回 。 如 图 5-2-4 所 示 【 选中 软件 安装 并 右 击 2 新 建 3 数 据 包 】。 
元 口 X 
名 称 版 本 。 部 畦 状态 来 源 
> 且 计算 机 本 下 


图 52-4 


STEP 网 。 在 图 5-2-5 中 选择 AkelPad 4.4.3 版 的 AkelPad443.msi ( 扩展 名 .msi 默 认 会 被 隐藏 ) ， 然 


后 单 击 短 守 塘 钮 。 


本 打开 


半 
下 


、 个 加 <。packa。 ，Akelpad443 ， 


vv 牟 。 搜 二-Akelpad443- 户 


HE 加 因 
人 改 日 央 


文件 名 (NT |AkelPed443 msi | 


图 52.5 
STEP 回 。 在 图 5-2-6 中 选择 已 发 布 ， 然 后 单 击 甘 晶 按 钮 。 
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图 $5246 
STEP 图 。 由 图 5-2-7 右 方 可 知 AkelPad 4.4.3 已 被 发 布 成 功 。 
[本 aasagas 四 


文 作品 “ 鹿 fFIA) 查看 (V) 车 (H) 
和 中 | 直 厅 | 四 世 | 目 四 


下 180 ”BR 布 。 \dcTWackagesWkelpad443WleelPed443msi 


图 52-7 


5.2.2 “客户 端 安装 被 发 布 的 软件 


我 们 将 到 域 成 员 计算 机 上 通过 控制 面板 来 安装 上 述 被 发 布 的 软件 。 
STEP 圈 。 请 到 任何 一 合 域 成 员 计算 机 上 利用 组 织 单位 业务 部 中 的 用 户 账户 ( 例如 mary ) 登录 


域 ， 假 设 此 计算 机 为 Windows 10。 
STEP 回 。 按 下 | 国 刍 2 输入 control 后 按 回 辆 键 2 如 图 5-2-8 所 示 单 击 程序 处 的 获得 程序 。 


国 护 W 本 本 二 口 
个 而 ，39 和 相反 书本 E 醒 记 
词 吾 计算 机 的 设置 下 六 式 al 
系统 和 安全 用 户 帐 户 
下 看 人 的 计算 f 愉 二 | 本 war 
二 下 要 惠 B 去 
外 
网 络 和 intemet 
oo 2 
看 风 居 赴 和 于 时 钟 .语言 和 区 域 
mm 壤 一: 
要 看 设备 和 打印 煞 更 光 维 和 法 
二 Jpi 生 设 和 对 同和 日 期 
更 玖 晶 师 、 时 间或 玫 字 窜 式 
| 轻松 全 用 
更 windows 这 0 的 和 
人 
图 5$2-8 
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STEP 回 。 选择 图 5-2-9 中 已 发 布 的 软件 AkelPad443 后 单 击 上 方 的 安装 。 
STEP 四 完成 后 【 单 击 左下 角 开 始 图 标 田 3 如 图 5-2-10 所 示 可 看 到 AkelPad 的 相关 快捷 方式 ] 。 
试 着 执行 此 程序 ( AkelPad ) 来 测试 此 程序 是 否 正常 。 


后 REF = ! 吾 
| + - T 而， BF ，EFREF 已 。 要 事 -下课 导 了 的 
| 和 从 网 络 安装 程序 
| 本 二 要 安 半 程序， 请 从 列表 中 将 其 寺中 ， 然后 单 去 去 竺 -， 
| 区 ER Windown 1 有 
| BR = 
图 529 图 52-10 


5.2.3 ”测试 自动 修复 软件 的 功能 


我 们 要 将 安装 好 的 软件 AkelPad 4.4.3 的 某 个 文件 夹 删 除 ， 以 便 测试 当 系统 发 现 此 文件 来 
遗失 时 ， 是 否 会 自动 重新 安装 此 文件 夹 与 其 中 的 文件 。 当 前 登录 的 用 户 仍然 是 用 户 mary。 以 
下 假设 客户 端 为 Windows 10。 


STEP 千 ”打开 文件 资源 管理 器 忆 删 除 图 5-2-11 中 C:\Program Files ( x86 ) \AkelPad 之 下 的 


\AkelFiles 文 件 夹 。 
回避 = | Akelpad 一 口 X 
PE :nm :>* mm e 
革 -个 司 w Progra ，Akelpad ， v 已 。 各 革 Ahelpad 也 
二 二 三 得 fc 站 和 人 改 日 3 


Duesom CE aarpiail 2 
inetpub KKETTad.exe 2016517119234 起 用 程序 


InstalatonMedis 属 


packages 本 
Perflogs 
Program Fies 
program Fles (<86) 
Asped ae > 
2 个 顺 目 轿 忌 


图 52-11 
此 AkelPAd 程 序 为 32 位 版 本 ， 客 户 端 为 64 位 的 Windows 10。 若 客户 端的 Windows 系 统 为 
32 位 的 话 ， 它 是 被 安装 在 C:\Program Files\AkelPad。 
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STEP 和 加。 由 于 当前 登录 的 用 户 mary 并 没有 权限 删除 此 文件 夹 ， 故 请 在 图 5-2-12 中 输入 系统 管理 
员 的 账户 与 密码 后 单 击 删 按钮 来 将 其 删除 。 


图 52-12 
STEP 图 。” 接 下 来 再 执行 AkelPad 来 测试 自动 修复 功能 : 【 单 击 左下 角 开 始 图 标 田 3 单 击 AkelPad 
应 用 程序 】， 此 时 因为 系统 检测 到 AkelFiles 文 件 夹 已 缺失 ， 故 会 自动 重新 再 安装 此 文 


件 夹 与 其 中 的 文件 。 


5.2.4 ”取消 已 发 布 的 软件 


如 果 要 取消 已 经 被 发 布 的 软件 ， 请 如 图 
除 】， 然 后 可 以 有 以 下 两 种 选择 : 
二 二 本 本 二 双 棕 过 浊 
六 ft 强 (EUA) 亚 丰 大 二 (H) 


和 路 | 外 加 | 轩 寺 也 | 目 可 
RN9GpO DCTSAYMSLq| 区， 且 二 。 部 村 民权 


5-2-13 所 示 【 选 中 该 软件 并 右 击 3 所 有 任务 2 删 


图 52-13 
站 立即 从 用 户 和 计算 机 中 务 载 软件 : 当 用 户 下 次 登录 时 或 计算 机 启动 时 ， 此 软件 就 会 


自动 被 删除 。 
习 克 许 用 户 继续 使 用 软件 ， 但 阻止 新 的 安装 : 用 户 已 经 安装 的 软件 不 会 被 删除 ， 可 以 
继续 使 用 它 ， 不 过 新 用 户 登录 时 ， 就 不 会 有 此 软件 可 供 选择 与 安装 。 


国 1es 
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5.3 ”将 软件 分 配给 用 户 或 计算 机 


将 软件 分 配给 用 户 或 计算 机 的 步骤 ， 与 前 一 小 节 将 软件 发 布 给 用 户 类 似 ， 本 节 仅 列 出 两 
者 的 差异 。 


5.3.1 分 配给 用 户 


可 以 将 软件 分 配给 整个 域 或 某 个 组 织 单位 内 的 用 户 ， 其 详细 的 操作 步骤 请 参照 前 一 节 ， 
不 过 需要 如 图 5$-3-1 所 示 改 为 选择 已 分 配 。 


怀 村 软件 X 
透 绎 部 团 方 法 - 
口 BEX 布 m 
国 E9RBIA 
口 ERW 
起 泽 此 选 枫 分 醒 - 示 经 佛 改 的 应 用 在 序 . 
| 己 到 
图 53-1 


区 
忆 


可 以 将 一 个 已 经 发 布 的 软件 直接 改 为 已 分 配 : 如 图 5$-3-2 所 示 【 选 中 此 软件 并 右 击 2 分 
配 】。 


组 第 栈 各 理 编 各 器 悍 X 
和 史 | 直 回国 加 可 | 上 四 


司 和 用 的 GPO [DCISAYMSLd|| 名 称 版本。 部 畦 状态 E 
》 师 计 加 
Y 克 用 广 本 可 人 
证 
Y 加 软 fi 本 5 厅 
楂 到 4 所 有 任务 (0 
) 回 windows 认 得 
>》 当 优 理 杭 板 ;从 本 地 计 有 RN 
》 伪 百 E 硕 屋 性 (m 
Re 了 
HR 本 包 ， 以 便 用 户 梧 录 时 安 园 . 
图 532 


被 分 配 此 软件 的 用 户 ， 当 他 们 登录 后 ， 系 统 就 会 建立 该 软件 的 快捷 方式 并 将 相关 扩展 名 
与 此 软件 之 间 建 立 起 关联 关系 《 视 软件 而 定 ) ， 不 过 此 软件 事实 上 并 还 没有 真正 地 被 安装 完 
成 ， 此 时 只 要 用 户 使 用 此 软件 的 快捷 方式 ， 系 统 就 会 自动 安装 此 软件 。 用 户 也 可 以 通过 【 按 
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田 ; 图 键 2 输入 control 后 按 贺 图 键 3 单 击 程序 处 获得 程序 】 的 方式 来 安装 。 


5.3.2 “分 配给 计算 机 : 


当 将 软件 分 配给 整个 域 或 组 织 单位 内 的 计算 机 后 ， 这 些 计算 机 在 启动 时 就 会 自动 安装 此 
软件 。 分 配 的 步骤 与 前 一 节 相 同 ， 不 过 请 注意 以 下 几 点 事项 : 


汉 请 如 图 5-3-3 所 示 通 过 计算 机 配置 来 设置 ， 而 不 是 用 户 配 置 。 


了 提 生 和 汪 二 口 六 
文人 个， 各 FA) 查看) 大 如 0 
和 中 | 者 中 | 本 | 目 吗 


图 53-3 


当 设置 软件 默认 的 存储 位 置 : 【选中 图 5-3-3 中 的 软件 安装 并 右 击 忆 新 建 忆 数据 包 】 - 
站 在 图 5-3-4 中 选择 已 分 配 。 由 图 可 看 出 只 可 以 分 配给 计算 机 ， 无 法 发 布 给 计算 机 。 


攻守 软件 X 
远 择 部 看 方 法 
已 妥 布 人 
国 EOBAI 
EM 
一 
[|] 世 呈 可 
图 53-4 


5.4 “将 软件 升级 


可 以 通过 软件 部 署 方式 来 将 旧版 的 软件 升级 或 安装 更 新 程序 。 可 以 将 已 经 部 署 给 用 户 或 
计算 机 的 软件 升级 到 较 新 的 版 本 ， 而 升级 的 方式 有 以 下 两 种 : 


强制 升级 : 不 论 是 发 布 或 分 配 新 版 的 软件 ， 原 来 旧版 的 软件 可 能 都 会 被 自动 升级 ， 
不 过 刚 开始 此 新 版 软件 并 未 被 完全 安装 (例如 仅 会 建立 快捷 方式 ) ， 用 户 需要 选择 


国 ;es 
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此 程序 的 快捷 方式 或 需要 执行 此 软件 时 ， 系 统 才 会 开始 完整 地 安装 这 个 新 版 本 的 软 
件 。 如 果 未 自动 升级 的 话 ， 则 需要 通过 控制 面板 来 安装 这 个 新 版 本 的 软件 。 

匀 选择 性 升级 : 不 论 是 发 布 或 分 配 新 版 的 软件 ， 原 来 旧版 的 软件 都 不 会 被 自动 升级 ， 
用 户 必须 通过 控制 面板 来 安装 这 个 新 版 本 的 软件 。 


如 果 是 强制 升级 的 话 ， 则 用 户 在 控制 面板 内 无 法 选用 原来 的 旧版 软件 。 分 配给 计算 机 的 


设 是 AkelPad 4.4.3) 升级 ， 同 时 假设 是 要 针对 组 织 单位 业务 部 内 的 用 户 ， 而 且 是 通过 测试 用 
的 GPO 来 练习 。 


STEP 回 。 将 新 版 软件 复制 到 软件 发 布点 内 ， 如 图 5-4-1 所 示 的 AkelPad48S 文 件 来。 


局 : 局 而 = | Abaped4es 和 ”已 
和 于 理 天 上 
1 2 户 
| 和 六 却 “ aaB 明 到 
| es 项 mogram he。 2oamaisat 了 HH 
opob 雾 Akspad485msi 01WT141827 Windows in 
Ts 
3 padoee= 
> 
因 直 寺 
是 neom me va 3 
了 R 上 4y 王 用 已 图 = 
图 541 


STEP 加 请 在 域 控 制 器 上 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 已 组 策略 管理 福 展 开 到 
组 织 单位 业务 部 3 选中 测试 用 的 GPO 并 右 击 忆 编辑 3 在 图 5-4-2 中 展开 用 户 配置 2 策略 
忆 软 件 设置 2 选中 软件 安装 并 右 击 3 新 建 2 数据 包 】。 


二 班 每 本 芝 理 辣 扎 三 一 口 X 
文 qHR_ 旺 fFA) 本 看 (V) 刊本 (H) 

CIEToEESEITTL 

| [3 玫 


图 542 
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STEP 贺 。 在 图 5-4-3 中 选择 新 版 本 的 MSI 应 用 程序 ， 也 就 是 AkelPad485.msi ( 扩展 名 .msi 默 认 被 
隐藏 ) ， 然 后 单 击 畦 章 近 钮 。 


可 3 X 
人 pda 六 
Es” 吕 旧 
弛 改 日 池 


aona1718 1524 文人 闫 
20a7AT187 Wandow 


> 


文科 名 IN | Akalpad485.msi | [wdowsinaalerRacm v| 
医 _ 本 
543 
STEP 加 。 在 图 5-4-4 中 选择 高 级 后 单 击 负 唱 沪 钮 
部 要 软件 基 
选 笃 部 四 方法 
BAIP) 
口 多 而 内 
加 二 有 


图 544 


STEP 回 。 在 图 5-4-5 中 单 击 升级 选项 卡 ， 如 果 要 强制 升级 的 话 ， 请 色 选 现 有 程序 包 所 需 的 升级 ， 
否则 直接 单 击 演 刘 过 钮 即 可 。 


)- 


CD 


回 现 有 程序 人 所 儿 的 升级 


图 545 
STEP 回 在 图 5-4-6 中 选择 要 被 升级 的 旧版 软件 AkelPad443 后 按 医 是 钮 。 


转 ;7 
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图 村 个人 十 GPOISK 


在 图 中 也 可 以 选择 将 其 他 GPO 所 部 署 的 旧 软 件 升级 。 另 外 ， 还 可 以 通过 画面 最 下 方 来 选 
择 先 移 除 旧版 软件 ， 再 安装 新 版 软件 ， 或 者 直接 将 旧版 软件 升级 。 


STEP 园 。 回 到 前 一 个 界面 时 单 击 杰 竹 撤 钮 。 
STEP 贺 。 图 5-4-7 为 完成 后 的 界面 ， 其 中 AkelPad485 左 侧 的 图 中 向 上 的 箭头 ， 表 示 它 是 用 来 升级 
的 软件 。 


] 
文才 站 ， 殉 fFN 走 要 W| 理 凤 0) 


从 右 侧 的 升级 与 升级 类 型 字段 也 可 知道 它 是 用 来 将 AkelPad443 强 制 升级 ， 不 过 默认 并 不 
会 显示 这 两 个 字段 ， 必 须 通过 【 单 击 上 方 的 查看 菜单 3 添加 /删除 字段 ] 的 方法 来 添加 这 
两 个 字段 。 


STEP 图 。 由 于 我 们 是 选择 强制 升级 ， 故 当 用 户 应 用 策略 后 ( 例如 登录 或 重新 启动 计算 机 ) ， 
【 单 击 左下 角 开 始 图 标 田 3 单 击 AkelPad 应 用 程序 】 时， 其 计算 机 便 会 自动 将 AkelPad 
4.4.3 升 级 为 AkelPad 4.8.5。 


姓 
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IED 


所 部 署 的 软件 ， 如 果 厂 商 之 后 有 .msi 或 .msp 的 更 新 程序 的 话 ， 可 尝试 将 新 的 ,msi 复制 到 
软件 发 布点 ， 或 是 利用 执行 msiexec.exe 程 序 来 将 .msp 文 件 更 新 到 软件 发 布点 ， 最 后 再 
【选中 该 软件 并 右 击 纪 所 有 任务 2 重新 部 署 应 用 程序 ] ， 客 户 端 执行 该 软件 时 可 能 就 会 
自动 安装 更 新 程序 ， 但 是 也 可 能 客户 端 需 要 自行 卸载 该 软件 后 才 会 重新 安装 。 


5.5 ”部署 Adobe Acrobat 


由 于 部 署 Adobe Acrobat 的 方法 与 前 面部 署 AkelPad 的 方法 相同 ， 因 此 以 下 仅 对 关键 性 步 
了 进 行 说 明 ， 同 时 利用 此 范例 来 说 明 如 何 部 署 扩 展 名 是 ,msp 的 更 新 文件 。 


5.5.1 部署 基础 版 


以 下 以 Adobe Acrobat Reader DC 为 例 来 说 明 ， 请 先 到 Adobe 的 FTP 服务 器 
ftp://fip.adobe.com/pub/adobe/reader/win 下 载 基 础 版 (base version ) 的 Adobe Acrobat Reader DC 
安装 文件 (.msi) ， 此 处 假设 所 下 载 的 文件 为 AcroRdrDC1500720033_zh_CN.msi， 并 且 我 们 
将 所 下 载 的 文件 存储 到 CNDownload 文 件 夹 。 接 着 利用 以 下 命令 来 获取 此 .msi 内 的 文件 : 


msiexec/ac:\DownloadvAcroRdrDC1500720033_zh_CN :msi 


并 选择 将 读 取 出 的 文件 存放 到 任 一 文件 夹 内 《假设 是 CA\ Extract， 如 图 5-5-1 所 示 ) 。 


盐 Adobe AerobatReader DC - 于 本 了 共 


图 SS-1 


然后 将 整个 Extract 文 件 夹 内 的 文件 复制 到 软件 发 布点 ， 例 如 复制 到 CAPackages\Adobe 文 
件 夹 内 ， 如 图 5-5-2 所 示 。 


罩 1 
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上 -个 轴 vpadaoes ，Adabe 下 Rsdobe 呈 


j eama 
jnepob 
jmstalatonMedia 
] paceages 
adobe 
] AkelPad443 

AN < Esc > 

5 tk 志 省 8 训 图 e 


图 552 
接着 部 署 软件 发 布点 \WdelNPackages\Adobe 内 的 程序 AcroRdrDC1500720033_zh_CN.msi， 
图 5-5-3 为 完成 部 署 后 的 界面 假设 是 发 布 给 组 织 单位 业务 部 内 的 用 户 ， 而 且 是 通过 测试 用 的 
GPO 来 练习 ) 。 
aa < 有 倍 


文 性 介 各 fEA) 查看 村 Wi 
cdETeIESEEILDI 


司 
了 本 拓 | 图 kapad45 180 。 BN 布 。 NdclWackagesWkelpad485Wkeelpad485m 到 
ER 
本 [出 Sa 下 3 
图 553 


然后 到 客户 端 来 安装 此 被 部 署 的 AdobeAcrobatReader DC 1500720033 版 : 请 到 任何 一 台 
域 成 员 计 算 机 上 利用 组 织 单位 业务 部 中 的 用 户 账 户 〈 例 如 mary) 重新 登录 域 以 便 应 用 策略 设 
置 ， 然 后 【 技 田 + 图 键 2 输入 control 后 按 项 国人 键 2 单 击 程序 处 的 获得 程序 2 选择 图 5-5-4 中 的 
AdobeAcrobatReader DC -- Chinese Traditional 后 单 击 上 方 的 安装 】。 


柯 和 3 尼 床 二 下 昌 
4 -个 闸 ，BRBF V 口 。 主 和 守信 全 让 
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5.5.2 ”部 署 更 新 程序 
如 果 有 Acrobat Reader 更 新 文件 的 话 ， 会 以 扩展 名 为 .msp 的 文件 发 布 。 以 下 练习 如 何 


将 .msp 文 件 整 合 到 基础 版 的 Adobe Acrobat Reader DC 安装 文件 (.msi) 内 ， 并 部 署 此 包含 更 新 
程序 的 自 定义 .msi 安 装 文件 。 我 们 可 以 利用 msiexec.exe 程 序 来 将 .msp 文 件 整合 到 ,msi 文件， 其 


语法 如 下 : 


msiexec ，/p -msp 文件 的 路 径 与 文件 名 。 /a .msi 文件 的 路 径 与 文件 名 


请 到 Adobe 的 FTP 服务 器 下 载 新 版 的 ,msp 更 新 文件 ， 假 设 所 下 载 的 文件 为 


AcroRdrDCUpd1701220095.msp， 并 将 其 存储 在 CN\Download 文 件 来 内 ， 此 时 请 执行 以 
下 命令 来 更 新 前 面 所 叙述 的 C'\Extract 中 的 文件 ( 如 图 5-5-5 所 示 ) : 


STEP 句 


msiexec /p C:NDownloadNcroRdrDcUpd1701220095msp 


/a C:NEXtractNRcroRdrDC1500720033; zh TYWmS 主 


三 生理 Re CNWindowsveyctemazcmd em 


图 $5-5 
STEP 加 将 已 经 更 新 过 的 整个 Extract 文 件 夹 内 的 文件 复制 到 软件 发 布点 ， 假 设 是 复制 到 
CNPackages\AdobeUpdate 文 件 夹 内 ( 如 图 5-5-6 所 示 ) 。 
岂 面 =1Adobebpdae = 二 二 人 
有 E 玫 := :=*= ss 四 
4 个 区。 4 可可 (cj ，packages ，AdobeUpdate ， 已 本 要 -Adcbeupdate* 请 
图 训 四 - 
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Docstore 


201B178 2339 
program fs 

System32 
wm 


副 AcroRdrpcisoo7a0033 zh cNmai 


Downlaad 


Eract 


inetpub 


installatonMedia 


pacages 
Adobe 
AdobeUpdate 


v“ 
5 个 开 日 。 状 志 : 蕊 BH 剖 
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STEP 回 


请 部 署 上 述 文件 夹 内 的 .msi 程序。 在 部 署 时 ， 请 如 图 5-5-7 所 示 选 择 高 级 。 
STEP 四 


先 在 图 5-5-8 中 设置 此 更 新 版 软件 的 名 称 。 
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EM 作 Adobe Acrobat Reader DC - Chinese Simplified (2) 尾 性 
案 规 
和 部 要 刊 豚 。 尖 别 。 作 改 。 安全 
口 BSA 名 称 (N): 
mm TS 
一 rr 一 全 Te 
产品 信息 
9 栈 寓 司 版 本 计 斌 
图 55-7 
STEP 上 四 


此 我 们 需要 如 


岁 558 


我 们 部 署 此 新 版 软件 程序 的 目的 ， 是 用 来 更 新 客户 端 已 经 安装 的 旧版 本 软件 ， 但 是 此 


版 本 的 Acrobat Reader 无 法 采用 升级 方式 ， 只 能 将 旧版 本 的 卸载 ， 再 重新 安装 新 版 本 ， 因 


STEP 回 。 接着 如 


包 ， 然 后 安装 升级 数据 包 2 


5-5-9 所 示 在 升级 选项 卡 之 下 ， 将 图 中 采用 升级 方式 的 默认 项 目 删除 。 


adobe Acrobat Resder DC - Chineve simplEed 内 必 性 


AR 


区 


图 559 


5-5-10 所 示 继 续 单 击 升级 选项 卡 之 下 器 员 按 钮 ( 假设 我 们 也 义 选 现 有 程序 包 


所 需 的 升级 ) 点 选 卓 版 的 Adobe Acrobat Reader DC 了 确认 是 选择 印 载 现 有 程序 数据 


RECTEED] 


图 55-10 
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STEP 贺 。 如 图 5-5-11 所 示 为 完成 后 的 界面 。 


图 55-11 
STEP 回 到 客户 端 来 安装 此 被 部 署 的 新 版 Acrobat Reader DC;， 先 重新 登录 以 便 应 用 策略 设置 
此 版 本 Acrobat Reader DC 需 采 用 以 下 方式 来 安装 【 接 田 | 国 键 3 输 入 control 后 按 
键 3 单 击 程序 处 的 获得 程序 3 点 选 图 5-5-4 中 的 AdobeAcrobatReader DC -- Chinese 
Simplified 新 版 本 后 单 击 上 方 的 安装 】， 系 统 会 先 印 载 旧版 本 ， 再 安装 新 版 本 。 


人 ERBE 序 二 所 
二 - 个 厦 ， 交 古本 ， 忌 序 ， 酉 得 有 厅 驯 。 妥 幸 全 得 但 克 ” 忆 
村 从 网 络 安装 程序 
二 天 要 安装 得 序 ,请 从 列表 中 符 其 还 中 ， 类 后 单 二 "安装 - 
和 已 了 或 关闭 Windows 功能 
mn - 9 
名 了 
ET 
国 Akeipa33 
图 55-12 
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我 们 可 以 通过 软件 限制 策略 〈Software Restriction Policy，SRP) 所 提供 的 多 种 规则 ， 来 
限制 或 允许 用 户 可 以 运行 的 程序 。 


外 软件 限制 策略 概述 
站 启用 软件 限制 策略 
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6.1 软件 限制 策略 概述 


我 们 在 4-5 节 中 介绍 过 如 何 利用 文件 名 来 限制 用 户 可 以 或 不 可 以 运行 特定 的 应 用 程序 ， 然 
而 如 果 用 户 有 权 更 改 文 件 名 的 话 ， 就 可 以 突破 此 限制 ， 此 时 我 们 仍然 可 以 通过 本 章 的 软件 限 
制 策略 来 管理 。 此 策略 的 安全 级 别 分 为 以 下 3 种 ; 

外 不 受 限 : 所 有 登录 的 用 户 都 可 以 运行 指定 的 程序 (只 要 用 户 拥有 适当 的 访问 权限 ， 

例如 NTFS 权 限 ) 。 

外 不 允许 : 不 论 用 户 对 程序 文件 的 访问 权限 如 何 ， 都 不 多 许 运行 。 

沁 基本 用 户 : 允许 以 普通 用 户 的 权限 〈(users 组 的 权限 ) 来 运行 程序 。 

系统 默认 的 安全 级 别 是 所 有 程序 都 不 受 限 ， 也 就 是 只 要 用 户 对 要 运行 的 程序 文件 拥有 适 
当 访 问 权 限 的 话 ， 他 就 可 以 运行 此 程序 。 不 过 可 以 通过 哈 希 规则 、 证 书 规则 、 路 径 规 则 与 网 
络 区 域 规则 等 4 种 规则 来 建立 例外 的 安全 级 别 ， 以 便 拒 绝 用 户 运 行 所 指定 的 程序 。 


6.1.1 哈 希 规则 


险 希 〈hash) 是 根据 程序 的 文件 内 容 所 算出 来 的 一 连 串 字 节 ， 不 同 程序 有 者 不 同 的 哈 希 
值 ， 所 以 系统 可 用 它 来 识别 程序 。 在 为 某 个 程序 建立 哈 希 规则 ， 并 利用 它 限制 用 户 不 允许 运 
行 此 程序 时 ， 系 统 就 会 为 该 程序 建立 一 个 哈 希 值 。 而 当 用 户 要 执行 此 程序 时 ， 其 Windows 系 
统 就 会 比较 自行 算出 来 的 哈 希 值 是 否 与 软件 限制 策略 中 的 哈 希 值 相同 ， 如 果 相 同 ， 表 示 它 就 
是 被 限制 的 程序 ， 因 此 会 被 拒绝 运行 。 

即使 此 程序 的 文件 名 被 改变 或 被 移动 到 其 他 位 置 ， 也 不 会 改变 其 哈 希 值 ， 因 此 仍然 会 受 
到 哈 希 规 则 的 约束 。 


附注 岗 
如 果 用 户 计算 机 端的 程序 文件 内 容 被 修改 的 话 ( 例如 感染 计算 机 病毒 ) ， 此 时 因为 用 户 


的 计算 机 所 算出 的 哈 希 值 与 哈 希 规则 中 的 哈 希 值 不 同 ， 因 此 不 会 认为 它 是 受 限制 的 程 
序 ， 故 不 会 拒绝 此 程序 的 运行 。 


6.1.2 证 书 规则 


软件 发 行 公司 可 以 利用 证 书 〈certifieate) 来 签署 其 所 开发 的 程序 ， 而 软件 限制 策略 可 以 
通过 此 正式 来 识别 程序 ， 也 就 是 说 可 以 建立 证 书 规则 来 识别 利用 此 证 书 所 签署 的 程序 ， 以 便 
许 或 拒绝 用 户 执行 此 程序 。 
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6.1.3 ”路 径 规则 


可 以 通过 路 径 规则 来 允许 或 拒绝 用 户 运行 位 于 某 个 文件 夹 内 的 程序 。 由 于 是 根据 路 径 来 
识别 程序 ， 因 此 如 果 程 序 被 移动 到 其 他 文件 夹 的 话 ， 此 程序 将 不 会 再 受到 路 径 规则 的 约束 。 

除了 文件 夹 路 径 外 ， 也 可 以 通过 注册 表 路 径 来 限制 ， 例 如 开放 用 户 可 以 执行 在 注册 表 中 
所 指定 的 文件 夹 内 的 程序 。 


6.1.4 ”网 络 区 域 规则 


可 以 利用 网 络 区 域 规则 来 允许 或 拒绝 用 户 执行 位 于 某 个 区 域内 的 程序 ， 这 些 区 域 包含 
本 地 计算 机 、Internet、 本 地 Intranet、 受 信任 的 站 点 与 受 限 制 的 站 点 。 

除了 本 地 计算 机 与 Intemet 之 外 ， 可 以 设置 其 他 三 个 区 域内 所 包含 的 计算 机 或 网 站 : 【 按 
劝 + 图 键 2 输入 control 后 按 回国 键 2 网 络 和 Internet3Internet 选 项 3 单 击 图 6-1-1 中 的 安全 选项 
卡 3 选 择 要 设置 的 区 域 后 单 击 纲 亚 按钮 ] 。 


网 络 区 域 规则 适用 于 扩展 名 为 .msi 的 Windows IJnstaller Package。 


6.1.5 ”规则 的 优先 级 


可 能 会 针对 同一 个 程序 设置 不 同 的 软件 限制 规则 ， 而 这 些 规则 的 优先 级 由 高 到 低 为 : 哈 
希 规则 、 证 书 规则 、 路 径 规则 、 网 络 区 域 规则 。 
例如 针对 某 个 程序 设置 了 哈 希 规则 ， 并 且 设 置 其 安全 级 别 为 不 受 限 ， 然 而 同时 针对 此 程 
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序 所 在 的 文件 夹 设 置 了 路 径 规 则 ， 并 且 设置 其 安全 级 别 为 不 允许 ， 此 时 因为 哈 希 规则 的 优先 
级 高 于 路 径 规 则 ， 故 用 户 仍然 可 以 运行 此 程序 。 


6.2 ”启用 软件 限制 策略 


可 以 通过 本 地 计算 机 、 站 点 、 域 与 组 织 单位 等 四 个 不 同 地 方 来 设置 软件 限制 策略 。 以 下 
将 利用 前 几 章 所 使 用 的 组 织 单位 业务 部 内 的 测试 用 的 GPO 来 练习 软件 限制 策略 〈 如 果 尚 未 有 
此 组 织 单位 与 GPO 的 话 ， 请 先 建立 ) : 请 到 域 控制 器 上 【 单 击 左下 角 开 始 图 标 田 ?Windows 
管理 工具 忆 组 策略 管理 忆 展 开 到 组 织 单位 业务 部 写 选 中 测试 用 的 GPO 并 右 击 编 辑 2 在 图 6-2- 
1 中 展开 用 户 配置 策 略 2Windows 设 置 2 安全 设置 2 选中 软件 限制 策略 并 右 击 创 建 软件 限 
制 策略 】。 


区 王 受 | 

caELJLI 

扑 NE 站 轴 | 
1 | 
时 十- 请 -一 一 一 -as 

对 和 
司 六 ez 有 ee 
和 天 Dos 。 所 全 
EREE 从 二 寺 | 王 王 V) 
] 
图 62-1 
接着 单 击 图 6-2-2 中 的 安全 级 别 ， 从 右 侧 不 受 限 前 面 的 对 色 符 号 可 知 默认 安全 级 别 是 所 有 


程序 都 不 受 限 ， 也 就 是 只 要 用 户 对 要 运行 的 程序 文件 拥有 适当 访问 权限 的 话 ， 他 就 可 以 运行 
该 程序 。 


本 三 
2 到 HA M，m0 
如 中 | 五 硬 孔 | 目 四 
TARCTTT 
， 可 HU 


围 ieo 
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ER ne] 


6.2.1 建立 险 希 夫 
例如 要 利用 哈 希 规则 来 限制 用 户 不 能 安装 号 称 网 络 剪刀 手 的 Netcut 的 话 ， 则 其 步骤 如 下 

所 示 《〔 假 设 为 Netcut 3.0 版 、 其 安装 文件 为 Netcutexe) : 

STEP 禹 ”我们 将 到 域 控制 器 上 设置 ， 因 此 请 先 将 Netcut 3.0 的 安装 文件 Netcut'exe 复 制 到 此 计算 


机 上 。 
STEP 四 。 如 图 6-2-3 所 示 【 选中 其 他 规则 并 右 击 2 新 建 哈 希 规则 23 单 击 浏 多 按钮 ] 。 
二 二 全 是 理 要 浊 二 了 让 
一 
如 中 | 二 加 口 | 双全 | 目 四 
二 RDGPO iDC1SAYMSLOCAU 生路 了 | zs 负 
本 ws[ 一 一 5 
“二 证 Fv 
we 天 
5 六 的 昌 性 . 知 大 小 和 人 有 的 居 
gm 
f “十 和 
2 2 | 一 
ear RN 
图 62-3 
STEP 图 。 在 图 6-2-4 中 浏览 到 Netcut 3.0 安 装 文件 的 存储 位 置 后 选择 Netcutexe， 单 击 狂 着 技 钮 。 
怠 打 开 头 
不 用 < He (C) ，Paccages YY 忻 。 搜 索 -Packages 呈 
组 织 ”新建 文件 赤 时” 四 @ 


2 - 个 改 日 其 】 大 小 


各 但 01817A9 2 他， 碳 用 加 序 5 而 
| [RS | 
攻克 梧 
图 624 


STEP 四 。 在 图 6-2-5 中 选择 不 允许 安全 级 别 后 ， 单 击 咽 吓 技 钮 
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新 建 内 入 规则 基 
加 规 
站 文件 的 层 性 ， 如 大 小 和 创建 的 日 期 
和 相间 ,会 筑 自 动 写 入 。 
| 
文 # 人 OF 
(0000) 
metcut Setup 
raaso (EDJ 
RD 
图 62.5 
STEP 回 6-2-6 为 完成 后 的 界面 。 
册 瑟 汪 本 区 科 本 有 本 二 
六 的 泡 WA， 这 是 Mi， 人 和 99， 
ECEIETIEIEEILE 
司 RAR 的 GPO IDCTSAYMSLOCAU 华 吓 入 ]| 到 你 3 3 去 全 各 列 
信用 剧 wyey tocAt MAcHiNEsoFrwAREWicosoftwpdo -本 本 。。 不 机 
立 和 9%6HKEY LOCAL MACHII QI RE osoftwindo- 路 本 不 机 
< ER 喜 0000) netaa Sevp netout arcatcom 林 3 
站 面 Windcws 设 杆 
丫 怀 本国 对 / 注 购 
Y 至 福全 员 重 
国人 和 呈 
Y 恒 软 了 预制 生路 
机 去 全 级 到 
再 
图 6246 
位 于 组 织 单位 业务 部 内 的 用 户 应 用 此 策略 后 ， 在 执行 Neteut 3.0 的 安装 文件 Netcutexe 时 会 
被 拒绝 ， 并 且 会 出 现 图 6-2-7 的 警告 界面 。 


CNUsersmarWDesktopetcutexe X 
【x】 你 的 系统 管理 员 已 阻止 此 得 序 ， 有 关 详细 信息 ， 请 与 你 的 系统 管理 联 系 
CE 
图 62-7 


1. 不 同 版 本 的 Netecut， 其 安装 文件 的 哈 希 值 也 都 不 相同 ， 因 此 如 果 要 禁止 用 户 安装 其 他 
| 版 本 Netcut 的 话 ， 需 要 再 针对 它们 建立 哈 希 规则 。 

2. 为 了 加 强 阻挡 效果 ， 建 议 也 禁止 用 户 执行 Netcut 可 执行 文件 ， 例 如 如 果 可 执行 文件 为 
Netcutexe， 则 请 针对 此 文件 建立 哈 希 规则 来 禁止 用 户 执行 此 可 执行 文件 。 


6.2.2 ”建立 路 径 规 则 


路 径 规 则 分 为 文件 夹 路 径 与 注册 表 路 径 规 则 两 种 。 路 径 规 则 中 可 以 使 用 环境 变量 ， 例 如 
%LUSerprojile%、%SystemmRoo 而 、%4dPpdata%、%7T2map%、%Prograzmjiles% 等 。 


1. 建立 文件 夹 路 径 规则 


举例 来 说 ， 如 果 要 利 月 


件 夹 内 所 有 程序 的 话 ， 则 


设置 步骤 如 下 所 示 。 


STEP 如 图 6-2-8 所 示 【 


第 6 章 限制 软件 的 运行 “| 时时 


Te 和 三 站 


文件 夹 路 径 规则 来 限制 用 户 不 能 执行 位 于 \Wdcl\SystemTools 共 享 文 


选中 其 他 规则 并 右 击 人 3 新建 路 径 规 则 ] 。 


二 EN 机 归 MI 碍 0 
和 中 | 十 喇 | 口 | 五 卫 | 目 驯 


STEP 


是 
让 


图 628 


如 图 6-2-9 所 示 来 输入 或 浏览 路 径 、 安 全 级 别 选 择 不 允许 、 单 击 蒜 辣 扩 钮 。 


X 


如 果 只 是 要 限制 用 户 执行 此 路 径 内 某 个 程序 的 话 ， 请 输入 此 程序 的 文件 名 ， 例 如 要 限制 | 
的 程序 为 netcut,exe 的 话 ， 请 输入 \dcl\SystemToolswmetcutexe;， 如 果 不 论 此 程序 位 于 何 
处 ， 均 要 禁止 用 户 执行 的 话 ， 则 输入 程序 名 称 netcutexe 即 可 。 | 
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STEP 贺 。 图 6-2-10 为 完成 后 的 界面 。 


和 二 覃 生 更 = 日 % 
中 中 | 十 奢 | 口 | 后 也 | 目 笃 


图 62-10 


2. 建立 注册 表 路 径 规则 


可 以 通过 注册 表 〈registry) 路 径 来 开放 或 禁止 用 户 执行 路 径 内 的 程序 ， 由 图 6-2-11 中 可 
看 出 系统 已 经 内 填 了 两 个 注册 表 路 径 。 


困 一 一 - 虽 交 
四 本 要 M， RD 


图 62-11 
其 中 第 一 个 注册 表 路 径 是 要 开放 用 户 可 以 执行 位 于 以 下 注册 表 路 径 内 的 程序 : 
HEKEY LOCRL MACHINENSOEFTNRARENMicrosoftNWindows NTNCDEFentVersionNSyYstemRoot 
而 可 以 利用 注册 表 编 辑 器 (REGEDITEXE) 来 查看 其 所 对 应 到 的 文件 夹 ， 如 图 6-2-12 所 
示 为 C\Windows， 也 就 是 说 用 户 可 以 执行 位 于 文件 夹 C\Windows 内 的 所 有 程序 。 


[ 2 于 了 
2 用 “有 日生 M wm 
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如 果 要 编辑 或 新 建 注册 表 路 径 规则 的 话 ， 记 得 在 路 径 前 后 要 附加 % 符 号 ， 例 如 : 


SaHKEY LOCRT MACHITNENSOETWRRENVMiCFGSGEENRindowsNTNCUXEentVersiGnNSYStemRoot 和 


6.2.3 ”建立 证 书 规则 


由 于 客户 端 计算 机 默认 并 未 启用 证 书 规则 ， 因 此 这 些 计 算 机 在 执行 扩展 名 为 .exe 的 可 执 
行文 件 时 ， 并 不 会 处 理 与 证 书 有 关 的 事宜 。 以 下 我 们 将 先 启用 客户 端的 证 书 规则 ， 然 后 再 来 
建立 证 书 规则 。 


1， 启 用 客户 端的 证 书 规则 


证 书 规则 的 启用 是 通过 组 策略 来 设置 的 ， 以 下 假设 是 要 针对 组 织 单位 业务 部 内 的 计算 机 
来 启用 证 书 规则 ， 而 且 是 通过 测试 用 的 GPO 来 设置 。 

请 到 域 控制 器 上 【 单 击 左下 角 开 始 图 标 田 23Windows 管理 工具 2 组 策略 管理 纺 展 开 到 组 
织 单位 业务 部 2 选中 测试 用 的 GPO 并 右 击 2 编 辑 23 在 图 6-2-13 中 展开 计算 机 配置 纺 策 略 
33Windows 设 置 2 安全 设置 2 本 地 策略 2 安全 选项 23 将 右 侧 的 系统 设置 : 将 Windows 可 执行 
文件 中 的 证 书 规则 用 于 软件 限制 策略 设置 为 已 启用 】。 完 成 后 ， 位 于 此 组 织 单位 业务 部 内 的 
计算 机 在 应 用 策略 后 便 具 备 通过 证 书 来 限制 程序 执行 的 功能 。 


避让 丘 本 区 至 浆 这 入 > 口 X 
文 作曲。 瑟 fEA) 查 大 MI 昌 肌 H) 
和 中 | 六 洒 | 其 国 可 | 目 徊 


如 果 要 启用 本 地 计算 机 的 证 书 规则 : 【执行 GPEDIT.MSC 了 计算 机 配置 23Windows 设 

置 .… ( 以 下 与 前 述 域 组 策略 路 径 相同 ) 】， 关 此 设置 与 域 组 策略 设置 发 生 冲突 时 ， 则 以 

域 组 策略 的 设置 优先 。 四 es Eee| 

也 可 以 通过 以 下 方法 来 启用 客户 端的 证 书 规则 : 【在 图 6-2-14 中 展开 计算 机 配置 纺 策 略 
人 Windows 设 置 2 安全 设置 2 软件 限制 策略 双 击 右 侧 的 强制 3 点 选 强制 证 书 规则 】。 


18 国 


-二 Windows Server 2016 Active Directory 配置 指南 


上 
人。 本 要 MI 0 
上 ED 


2.， 建立 证 书 规则 


的 仙人 也 就 是 此 组 织 单位 内 的 用 户 无 
法 运行 所 有 程序 ， 但 只 要 程序 是 经 过 Sayms 公 司 所 申请 的 代码 签署 证 书签 署 的 话 ， 该 程序 就 
允许 运行 ， Re 


IEED 


可 以 通过 自行 搭建 的 CA 来 练习 ， 其 步骤 为 ， 拱 建 CA ( 例如 独立 根 CA ) 、 利 用 浏览 器 来 
向 此 CA 申请 代码 签名 证 书 { 记得 勾 选 将 密 钥 标记 为 可 导出 ) 、 下 载 与 安装 证 书 、 将 证 
书 导 出 保存 ( 通过 【 按 田 + 国 键 2 输入 control 后 按 回 辆 键 2 网 络 和 Internet3Internet 选 
项 3 内 容 3 证 书 忆 选择 证 书 纺 导出 】 的 方法 ) 。CA 与 证 书 的 完整 说 明 可 参考 《Windows 
Server 2016 网 络 管理 与 架 站 》 。 


STEp 回 选中 国 62- 1 的 基 他 则 并 十 新 巡 书 骨 2 单 是。 


国 ,ss 
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STEP 回 。 在 图 6-2-16 中 浏览 到 证 书 文件 SaymsCertcer 后 单 击 独 曾 近 钮 。 

忆 抵 X 

各 * 个 国 ， 此 电 蒋 ， 让 面 Y 六 。” 吾 幸 ' 吉 而 万 

让 只 ”新 建文 伯 严 ~- 加 上 

+ 国 和 修改 日 其 Ah 

党 团 saymscertcer 20181719 2250 安全 正本 

》 小 音乐 目 

> 虽 5 

”二 “REERRREEPEREEREREEREREEERRERRE > 
文 #(N: =] FE 可 

Croh) 辆 


62-16 
STEP 回 在 图 6-2-17 中 选 皮 不 受 限 后 单 击 叫 出 技 钮 。 
新 建 证 书 规则 X 


图 62-17 


STEP 加 。 图 6-2-18 为 完成 后 的 界面 。 位 于 组 织 单位 业务 部 内 的 用 户 应 用 此 策略 后 ， 在 运行 所 有 
经 过 Sayms 证 书签 名 的 程序 时 ， 都 会 被 允许 。 


给 二 时 理 并 和 二 TI 区 
广 直 站 YEA 查看 MI 几 (H) 
和 哆 | 直 千 | 口 | 直 于 | 目 加 
本 和 用 的 GPO IDCISAYMSLOCAL 第 和 | 和 次 关 六 全 级 到 
) 本 计 了 WUE 理 蝇 忆 wweviocu wecnmesor-。 ae。 
全 有 天 %HKEYLOCAL MACHINE\SOFT- 路径 。 不 要 
全 图 | 过 oaoo "onsewp "mca or- mp 。 TH 放 
杆 上 到 vdcnsysemrooc 不 Xp 许 
2 有 Eee 
世 苦 本国 录 注 风 
到 六 人 三 中 
， 五 人 组 
~ 司 sy 丙 和 
司 六 全 @ 吕 
En v 
一 < ， 
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6.2.4 ”建立 网 络 区 域 规则 


可 利用 网 络 区 域 规则 来 允许 或 拒绝 用 户 执行 位 于 某 个 区 域内 的 程序 ， 这 些 区 域 包含 本 
地 计算 机 、Internet、 本 地 Intranet、 受 信任 的 站 点 与 受 限 制 的 站 点 。 

建立 网 络 区 域 规则 的 方法 与 其 他 规则 很 类 似 ， 也 就 是 如 图 6-2-19 所 示 【 选 中 其 他 规则 并 
右 击 2 新 建 网 络 区 域 规则 纺 从 网 络 区 域 下 拉 列 表 中 选择 区 域 3 选择 安全 级 别 】， 图 中 表示 只 
要 是 位 于 受 限 制 的 站 点 内 的 程序 都 不 允许 运行 。 图 6-2-20 为 完成 后 的 界面 。 


上 二 贷 下 村 理 二 或 吕 ， 召 X 
HR 台 fEA) 亚 旺 Vi 几 殴 (H) 
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本 用 痢 | 司 wnweviocnL Macnwesorr- TH 
本 恒 aaol neto Setup netov or， 罗 骨 不 允许 
> 和 和 PH 不 fp 旋 
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了 Rs ] 
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《二 
图 62-19 
区 坦 生 中 管 理 帝 重 扣 口 基 
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者 seriocuhwawesom ”mm 
交 本 和 | oaoal neeeu Sehup rect ec- 罗 查 。 不 证 
人 2 中 区 。 不 jc 放 
人 | 人 Ra 
到 去 全 R 重 Rse Re 天 
EC | 
Y 司 欢 呈 投 制 寺中 外 
了 = 全 和 中 | 
了 了 ma 四 | 
CE 一 > 


图 62-20 


6.2.5 “不 要 将 软件 限制 策略 应 用 到 本 地 系统 管理 员 


如 果 不 想 将 软件 限制 策略 应 用 到 本 地 系统 管理 员 组 《Administrators) 的 话 ， 可 以 如 图 
6-2-21 所 示 【 双 击 软件 限制 策略 右 侧 的 强制 23 在 将 软件 限制 策略 应 用 到 下 列 用 户 处 选择 除 本 
地 管理 员 以 外 的 所 有 用 户 2 单 击 吐 葬 护 钮 】 。 


砾 ;ss 
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可 让 第 虽 理 六 吉 反 
文 # 胃 各 fEA 王 要 V| 天 (0H) 
和 时 | 直 四 | 轧 | 旧 王 
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第 7 章 建立 域 树 与 林 


我 们 在 第 2 章 已 经 介绍 过 如 何 建立 单一 域 的 网 络 环境 ， 而 本 章 将 更 进一步 介绍 如 何 建立 完 
整 的 域 树 〈domain tree) 与 林 (forest) 。 


建立 第 一 个 域 

建立 子 域 

建立 林 中 的 第 二 个 域 树 
删除 子 域 与 域 树 
更 改 域 控制 器 的 计算 机 名 称 


区 区 区 区 区 
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7.1 建立 第 一 个 域 


在 开始 建立 域 树 与 林 之 前 ， 如 果 对 Active Directory 域 服务 (AD DS)》 的 概念 还 不 是 很 清 
楚 的 话 ， 请 先 参考 第 1 章 的 说 明 。 以 下 利用 图 7-1-1 中 的 林 结 构 来 说 明 ， 此 林内 包含 左右 两 个 
域 树 : 


条 -种 城 控 能 玫 dc2.sayImsjocal 


生生 ， 1P:192.168.82124 
[yl :92 
1P:192.168.8.1124 的 和 于 了 
DNS :192.168.8.1 


DNS 服务 器 ) 


3 sh saymsdocal 
1P:192.168.8.10124 
DNS:192.168.8.1 

制 器 咏 
ssM asia 


( 域 控制 兹 & 


den saymsiocal 
( 域 搞 制 器 & 
DNS 报 务 磊 ) 


nsaymslocal 


图 7-LI 
站 左边 的 域 树 : 它 是 这 个 林内 的 第 一 个 域 树 ， 其 根 域 的 域名 为 sayms.local。 根 域 之 下 有 
两 个 子 域 ， 分 别 是 sh.sayms,local 与 cn.sayms.local。 林 名 称 是 以 第 一 个 域 树 的 根 域名 
称 来 命名 的 ， 所 以 这 个 林 的 名 称 就 是 sayms,local。 
沁 右边 的 域 树 : 它 是 这 个 林内 的 第 二 个 域 桂 ， 其 根 域 的 域名 为 sayiis.local， 根 域 之 下 有 
一 个 子 域 hk.sayiis.local。 
建立 域 之 前 的 准备 工作 与 如 何 建立 图 中 第 一 个 域 saymslocal 的 方法 ， 都 已 经 在 第 2 章 介 绍 
过 了 。 本 章 将 只 介绍 如 何 建立 子 域 〈《 例 如 图 中 的 sh.sayms,local) 与 第 二 个 域 树 〈 例 如 图 右边 
的 sayiis.local) 。 


7.2 ”建立 子 域 
以 下 通过 将 前 面 图 7-1-1 中 dc3.tw.sayms.iocal 升 级 为 域 控制 器 的 方式 来 建立 子 域 


twsayms,Jocal， 这 人 台 服 务 器 可 以 是 独立 服务 器 或 隶属 于 其 他 域 的 现 有 成 员 服务 器 。 请 先 确定 
前 面 图 7-1-1 中 的 根 域 sayms,local 已 经 建立 完成 。 
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STEP 回 。 请 先 在 图 7-1-1 左 下 角 的 服务 器 dc3.sh,sayms.local 上 安装 Windows Server 2016、 将 其 计 
算 机 名 称 设置 为 dc3、1Pv4 地 址 等 如 图 所 示 来 设置 ( 图 中 采用 TCP/IPv4 ) 。 注 意 将 计算 
机 名 称 设置 为 dc3 即 可 ， 等 升级 为 域 控 制 器 后 ， 就 会 自动 改 为 dc3.sh.sayms locale 

STEP 加 。” 打开 服务 器 管理 器 、 单 击 仪表 板 处 的 添加 角色 和 功能 。 

STEP 回 持续 单 击 请 和 刘 扩 钮 ， 直 到 在 图 7.2-1 中 勾 选 Active Direetory 域 服务 ， 单 击 填 疯 关 王 


按钮 
和 二 20 旨 色 HID 壬 巾 导 = 一目 攻 
选择 服务 器 角色 9 
开始 之 前 远 肥 要 去 装 在 所 选 服务 薄 上 的 一 个 或 令 个 角色 
安装 类 型 有 有色 [3 
服务 大 过 皖 站 RE 全 ri RD 
pr ee 于 全 人 AD 
ADps 站 see preaom 让 和 半生 丽人 和 和 Li 和 相 
图 72-I 
STEP 四 。 持续 单 击 请 六 技 钮 ， 直 到 出 现 确认 安装 选 页 界面 时 单 击 英国 按钮 
STEP 回 。 图 7-2-2 为 完成 安装 后 的 界面 ， 请 单 击 将 此 服务 器 提升 为 域 控 制 器 。 
一 已 X 
ES 扣 


若 在 图 7-2-2 中 直接 单 击 莫 国 按钮 ， 则 之 后 要 将 其 升级 为 域 控 制 器 的 话 ， 请 如 图 7-2-3 所 
示 单 击 服务 器 管理 器 上 方 旗帜 符号 ， 单 击 将 此 服务 器 提升 为 域 控制 器 。 
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STEP 回 。 如 图 7-2-4 所 示 选 择 将 新 域 添加 到 现 有 林 、 选 择 域 类 型 为 子 域 、 输 入 父 域名 
saymsJocal、 新 域名 为 sh 后 单 击 厦 油污 钮 


配 Active Directory 城 服务 配置 襄 司 一 口交 
| 部 署 配置 “人 
| 
| ER =- 
| 口 符 送 控制 枉 添 加 到 观 有 域 [D) 

富 拘 条 后 未 NI 有 林 (E) 

] 就 t0 新 HP 

播 二 此 筷 作 的 城 信息 

迁 至 城 兴 班 [ 一 吕 

st Re- 

新 域名 (WF 

人 00 人 

es 

Rs (LUEc- 

性 一- 区 Eee ~ 一 一 | 
图 724 


STEP 园 ”如 图 7-2-5 所 示 输 入 有 权限 新 建 子 域 的 用 户 账户 ( 例如 sayms \administrator ) 与 密码 后 
单 击 喘 重 按 钮 。 回 到 前 一 个 界面 后 单 击 畏 国 天 拉 钮 。 


Windows 安全 性 X 
部 署 操作 的 凭据 
为 此 看 各 人 提供 夭 刀 


> 5aymsvadministrator 


图 72.5 


仅 林 根 域 sayms.local 中 Enterprise Admins 组 成 员 才 有 权限 创建 子 域 。 
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STEP 回 。 完成 图 7-2-6 中 的 设置 后 单 击 参 汪 惠 技 钮 
站 选择 域 功 能 级 别 : 此 处 假设 选择 Windows Server 2016 
说 默认 会 直接 在 此 服务 器 上 安装 DNS 服务 器 
站 ”默认 会 扮演 全 局 编 录 服务 器 的 角色 
浊 新 域 的 第 一 台 域 控制 器 不 能 是 只 读 域 控制 器 【RODC) 
包 选择 新 域 控 制 器 所 在 的 AD DS 站 点 ， 目 前 只 有 一 个 默认 的 站 点 Default-First-Site-Name 


可 供 选 择 
浊 设置 目录 服务 还 原 模式 的 系统 管理 员 密码 
| 本 Acive Directory 吉本 矶 旱 记 与 二 二 马 、 条 
| 
域 控制 器 选项 Fw 
一 Di 
Fr 反 0 生 贡 多 ， [windowsevewao6 
月 他 二 大 二 过 过 归功 甬 和 站 可 人 和 
种 尼 同 莹 到 IDNS) 服 务 吕 (O 
月 要 万 同 全 网 坟 及 (GCHG) 
AR 全 (RDDCR) 


图 7246 


密码 歌 认 需 要 至 少 7 个 字符 ， 且 不 能 包含 用 户 账户 名 称 ( 指 用 户 SamAceountName ) 或 
全 名 ， 还 有 至 少 要 包含 A~Z、a-~z、0-9、 非 字母 数字 ( 例如 !、8$、 杖 %% ) 等 4 组 字符 中 
的 3 组 ， 例 如 123abcABC 为 有 效 密码 ， 而 1234567 为 无 效 密码 。 、 


STEP 回 。 出 现 如 图 7-2-7 所 示 的 界面 时 直接 单 击 请 浊 掖 钮 。 


[ER 二 六 
| DNS 选 大 党 
人 1 bs 
二 交 贞 网 SPNS ED) 
肌 陀 迁 项 训 奸 区 泊 的 人 王 
开 笃 ai 网 
图 7227 


STEPEO。 在 图 7-2-8 中 单 击 请 汪 旨 技 钮 。 图 中 安装 向 导 会 为 此 子 域 设置 一 个 NetBIOS 格 式 的 域名 
( 不 分 大 小 写 ) ， 客 户 端 也 可 以 利用 此 NetBlOS 名 称 来 访问 此 域 的 资源 。 软 认 
NetBIOS 域 名 为 DNS 域名 中 第 一 个 句点 堪 侧 的 文字 ， 例 如 DNS 名 称 为 sh.sayms.local， 


转 ;9% 
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则 NetBIOS 名 称 为 SH。 


| 本 Acere pireaory 二 可 村 户 导 
其 他 选项 


| 和 时 本 了 NetBlO5 人 入， 并 在 人 要 困 更 本 和 
城 控 制 刘 迁 太 < 
DNS 进 需 


配 


图 728 


STEP 上 E 。 在 图 7-2-9 中 可 直接 单 击 让 二 技 钮 ， 


外 数据 库 文件 夹 : 用 来 存储 AD DS 数 据 库 。 
包 日 志文 件 文件 夹 ; 用 来 存储 AD DS 的 变更 日 志 ， 此 日 志文 件 可 被 用 来 修复 AD DS 数 据 库 。 


一 


配 Actve Directory 过 友 当 本村 训导 3 
路 和 
和 计 十 AD D5 双关 车 、 日 去 文件 和 5YSYOL 的 位 置 
托 控 利夫 选 让 
ee ER 
| ER 目 本 六 伯伯 克 (: ChWindawsWTDS 
[ee Eee 


图 7-2.9 

STEP 上 四 。 在 查看 选项 界面 中 单 击 靶 生 天 以 钮 
STEP E 。 在 如 图 7-2-10 所 示 的 界面 中 ， 如 果 顺 利通 过 检查 的 话 ， 就 直接 单 击 览 鲁 按 钮 ， 否 则 请 
根据 界面 提示 先 排 除 问题。 


本 本 汪 FFSH4e 
| 5 柄 
| 。 aa maeaw 
人 worn err 2016 他 夸 Wndows NT 下 二 生 
ME 和、 下 全 人 2 各 上 RE 人 
| 0 和 
| 
pp 人 生生 E 间 902564 tp/ge vtosofcomyiotr | 
| nds10d7S 人 、 | 
| 1 Set 
| 本 W 有 放学 件 性 音标 开 帮 丙 iT， 博 单 去 -二 间 下 仙人 重 ， 
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STEP 上 安装 完成 后 会 自动 重启 计算 机 。 可 在 此 域 控制 器 上 利用 子 域 系 统管 理 员 
shvadministrator 或 林 根 域 系 统管 理 员 saymsvadministrator 身 份 登录 。 


完成 域 控 制 器 的 安装 后 ， 因 为 它 是 此 域 中 的 第 一 台 域 控制 器 ， 故 原本 这 人 台 计 算 机 内 的 本 
地 用 户 账户 会 被 转移 到 此 域 的 AD DS 数 据 库 内 。 由 于 这 人 台 域 控制 器 同时 也 安装 了 DNS 服务 
器 ， 因 此 其 会 自动 建立 如 图 7-2-11 所 示 的 区 域 sh.sayms.local， 它 被 用 来 提供 此 区 域 的 查询 服 
务 。 


羡 DNS 管理 器 一 口 演 
文件 站“ 摇 fSIA) 查看 V) 神助 H) 
和 中 | 二 王 | 目 丁 杞 | 加 三 | 站 牢 辟 


名 乏 】 5 9 本 可 
习 msdc 

忆 *p 

了 dp 

罩 与 文 件 夫 司 ) 。 起 冶 括 权 机 构 (SOA) 。 1161 dc3ushsaymsjocal-， 部 赤 
目 号 w 文 伯 关 相同 。 名 条 如 条 革 (N5 dc3shsaymsjocal， 航 去 
目 司 % 文 # 坟 BB)。 主 A) 192168.810 201877| 
目 de 三 HA) 192168.810 再 圭 


图 72-11 

同时 此 人 台 DNS 服 务 器 会 将 非 sh.sayms.local 域 〔 包 含 sayms,local) 的 查询 请 求 ， 通 过 转发 
器 转发 给 sayms ,local 的 DNS 服务 器 dc1.sayms.local (192.168.8.1) 来 处 理 ， 可 以 通过 以 下 方法 
来 查看 此 设置 【如 图 7-2-12 所 示 单 击 服务 器 DC3 忆 单 击 上 方 属 性 图 标 忆 如 前 景 图 所 示 的 转发 器 


选项 卡 】。 
吉 DNS 惹 理 旦 1 
位 人 (F) 。 通 作 (A)。 委 淖 (V) 。 儿 苔 (H) 
和 中 [证 面 | 区 加 入 蕊 | 回血 | 请 画 
站 DNS 区 
了 DC3 性 性 了 基 
se 有 《人 2 JR RN 示 则 | 肌 HE 二 2。 去 全 
0 司 。 二 是 可 以 用 亲生 DNS 记 池 本 和 的 服务 器 ,而 这 此 纪录 呈 演 最 和 尖 站 
) 避 [中 
Ra 本 
部 她 址 王 FODN 
避 咱 本 六 玫 站 
图 72.D2 


另外 ， 此 服务 器 的 首选 DNS 服务 器 会 如 图 7-2-13 所 示 被 改 为 指向 自己 〈127.0.0.1) 、 备 用 
DNS 服务 器 指向 sayms.local 的 DNS 服务 器 dc1.sayms.local (192.168.8.1) 。 


国 ss 
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| 。 襄阳 风光 持 此 功 验 ,是 可 以 5 到 己 堪 和 扩 |F 设置 理财 ， 作 要 要 从 同 
| 。 二 近 近 管理 更 冰 区 阳 汉 三 的 
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癌 有 BMD 
| ammmaeniaser 
Pit 
子 了 RU 
RD 


私 本 二 PMA 闻 兴 乱 LB) 


图 72-13 
同时 在 sayms.local 的 DNS 服务 器 dcl.sayms.local 内 也 会 自动 在 区 域 sayms.local 之 下 建立 如 
图 7-2-14 所 示 的 委派 域 (sh) 与 名 称 服务 器 记录 (NS) ， 以 便当 它 接收 到 查询 sh.sayms.local 
的 请 求 时 ， 可 将 其 转发 给 服务 器 dc3.sh.sayms.local 来 处 理 。 


高 pNs 车 吉 OP 
文 PH ” 挫 f#IA) 坦 者 (V) 。 帮 即 (H) 
和 哆 | 为 硬 | 可 互 也 | 加 加 | 让 癌 己 


名 队 县 务 器 (NS) 。 DC3 sh saymsjocal。 竟 志 


图 7214 


晶 根 域 sayms.local 的 用 户 是 否 可 以 在 子 域 sh.sayms.local 的 成 员 计 算 机 上 登录 ? 子 域 
sh.sayms.local 的 用 户 是 否 可 以 在 根 域 sayms.local 的 成 员 计 算 机 上 登录 ? 


@ 都 可 以 。 任 何 域 的 所 有 用 户 ， 黑 认 都 可 在 同一 个 林 的 其 他 域 的 成 员 计算 机 上 登录 ， 


但 域 控制 器 除外 ， 因 默认 只 有 素 属于 Enterprise Admins 组 { 位 于 林 根 域 saymis.local 内 ) 的 
用 户 才 有 权限 在 所 有 域内 的 域 控制 器 上 登录 。 每 一 个 域 的 系统 管理 员 ( Domain 
Admins ) ， 虽 然 可 以 在 所 属 域 的 域 控制 器 上 登录 ， 但 却 无 法 在 其 他 域 的 域 控制 器 上 登 
录 ， 除 非 另 外 被 赋予 允许 本 地 登录 的 权限 。 
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7.3 ”建立 林 中 的 第 二 个 域 树 


在 现 有 林 中 新 建 第 二 个 《或 更 多 个 ) 域 树 的 方法 为 ; 先 建 立 此 域 树 中 的 第 一 个 域 ， 而 建 
立 第 一 个 域 的 方法 是 通过 建立 第 一 台 域 控制 器 的 方式 来 实现 的 。 

假设 我 们 要 新 建 一 个 如 图 7-3-1 右 侧 所 簿 的 域 sayiis.local， 由 于 这 是 该 域 树 中 的 第 一 个 

域 ， 所 以 它 是 这 个 新 域 树 的 根 域 。 我 们 要 将 sayiislocal 域 树 加 入 到 林 sayms'local 中 

《sayms.local 是 第 一 个 域 树 的 根 域 的 域名 ， 也 是 整个 林 的 林 名 称 ) 。 

以 下 将 通过 建立 图 7-3-1 中 域 控制 器 dc5.sayiis.local 的 方式 ， 米 建立 第 一 个 域 树 。 


esSayiis.iocaj 
2.168 生 -1124 


《 城 棕 
DNS 服务 只 


aymsloeal 


7.3:1 选择 适当 的 DNS 架构 


如 果 要 将 sayiis.local 吉 树 加 入 到 林 saymslocal 中 的话， 就 必须 在 建立 域 控制 器 
dcs.sayiis.local 时 能 够 通过 DNS 服务 器 来 找到 林 中 的 域 命 名 操作 主机 (domain naming 
operations master) ， 否则 无 法 建立 域 sayiis.local。 域 命名 操作 主机 默认 是 由 林 中 第 一 人 台 域 控 
制 器 所 扮演 《〈 详 见 第 10 草 ) ， 以 图 7-3-1 来 说 ， 它 就 是 dcl.sayms.Iocal。 

还 有 在 DNS 服务 器 内 必须 有 一 个 名 称 为 sayiis.local 的 主要 区 域 ， 以 便 让 域 sayiis.local 的 域 
控制 器 能 够 将 自己 注册 到 此 区 域内 。 域 sayiis.local 与 sayms.local 可 以 使 用 同一 台 DNS 服 务 器 ， 
也 可 以 各 自 使 用 不 同 的 DNS 服务 器 。 

鸟 使 用 同一 台 DNS 服 务 器 ; 请 在 这 台 DNS 服 务 器 内 另外 建立 一 个 名 称 为 sayiis.local 的 主 

要 区 域 ， 并 启用 动态 更 新 功能 。 此 时 这 台 DNS 服 务 器 内 同时 拥有 sayms.local 与 
Sayiis.local 两 个 区 域 ， 如 此 saymas ,local 与 sayiis,local 的 成 员 计 算 机 都 可 以 通过 此 台 DNS 


帮 ,s 
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服务 器 来 找到 对 方 。 

浊 使 用 不 同 的 DNS 服务 器 ， 并 通过 区 域 传送 来 复制 记录 : 请 在 这 台 DNS 服 务 器 ( 见 图 
7-3-2 右 半 部 ) 内 建立 一 个 名 称 为 sayiis.local 的 主要 区 域 ， 并 启用 动态 更 新 功能 ， 还 需 
要 在 这 台 DNS 服 务 器 内 另外 建立 一 个 名 称 为 sayms.local 的 辅助 区 域 ， 此 区 域内 的 记录 
需要 通过 区 域 传 送 从 域 sayms.local 的 DNS 服务 器 ( 图 7-3-2 左 半 部 ) 复制 过 来 ， 它 让 
域 sayiis.local 的 成 员 计 算 机 可 以 找到 域 sayms,local 的 成 员 计 算 机 - 


E 一 ) 区 域 传送 E 互 ” 


主要 区 域 sayms.local 辅助 区 域 sayms-local 卜 
区 域 传送 
的 DNS 服务 器 辅助 区 域 sayiis.local 拉 要 区 域 sayiis.local 的 DNS 服务 器 
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同时 也 需要 在 域 sayms.local 的 DNS 服务 器 内 另外 建立 一 个 名 称 为 sayiis.local 的 辅助 区 
域 ， 此 区 域内 的 记录 也 需要 通过 区 域 传 送 从 域 sayijs.local 的 DNS 服务 器 复制 过 来 ， 它 
让 域 sayms.local 的 成 员 计 算 机 可 以 找到 域 sayiis.local 的 成 员 计算 机 。 

包 其 他 情况 : 我 们 前 面 所 搭建 的 sayms.local 域 环境 是 将 DNS 服务 器 直接 安装 到 域 控制 器 
上 上， 因此 其 中 会 自动 建立 一 个 DNS 区 城 saymas,local ( 如 图 7-3-3 中 堪 侧 的 Active 
Directory 集 成 区 域 sayms.local ) ， 接 下 来 在 安装 sayiis.local 的 第 一 台 域 控制 器 时 ， 默 
认 也 会 在 这 台 服 务 器 上 安装 DNS 服务 器 ， 并 且 自动 建立 一 个 DNS 区 域 sayiislocal ( 如 
图 7-3-3 中 右 侧 的 Active Directory 集 成 区 域 sayiis.local ) ， 而 且 还 会 自动 设置 转发 器 来 
将 其 他 区 域 ( 包含 sayms.local ) 的 查询 请 求 转发 给 图 中 去 侧 的 DNS 服务 器 ， 因 此 
sayiis.local 的 成 员 计 算 机 可 以 通过 十 侧 的 DNS 服务 器 来 同时 查询 sayms.local 与 
sayiis.local 区 域 的 成 员 计 算 机 ， 


saymslocal 的 域 sayiisslocal 的 域 
控制 器 翡 DNS 服 务 器 控制 右 非 DNS 服务 煤 


通过 转发 器 设置 将 sayms.local( 与 其 他 区 域 ) 


E) 和 查询 请 求 转发 给 sayms ,local 的 DNS 服务 器 


Aetive Direetory 集 成 
医 域 sayms.local 


区 城 传送 


二 Active Directory 集 成 
辅 协 区 域 sayiis.Iocal 区 域 sayiisocal 


疼 733 
不 过 这 里 还 必须 在 左 侧 的 DNS 服务 器 内 自行 建立 一 个 sayiis.local 辅 助 区 域 ， 此 区 域内 
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的 记录 需要 通过 区 域 传送 从 右 侧 的 DNS 服务 器 复制 过 来 ， 它 让 域 sayms.local 的 成 员 计 


算 机 可 以 找到 域 sayiis.local 的 成 员 计 算 机 。 


也 可 以 在 左 侧 的 DNS 服务 器 内 ， 通 过 条 件 转发 器 只 将 sayiislocal 的 查询 转发 给 右 侧 的 
DNS 服务 器 ， 如 此 就 可 以 不 需要 建立 辅助 区 域 sayiis,local ， 也 不 需要 区 域 传送 。 注 意 由 
于 右 侧 的 DNS 服务 器 已 经 使 用 转发 器 设置 将 sayiis.local 之 外 的 所 有 其 他 区 域 的 查询 ， 转 
发 给 左 侧 的 DNS 服务 器 ， 因 此 左 侧 DNS 服务 器 请 使 用 条 件 转发 器 ， 而 不 要 使 用 一 般 的 转 
发 器 ， 否 则 除了 sayms.local 与 sayiis.local 两 个 区 域 之 外 ， 其 他 区 域 的 查询 将 会 在 这 两 全 
DNS 服务 器 之 间 循 环 。 


7.3.2 建立 第 三 个 域 树 


以 下 采用 图 7-3-3 的 DNS 架构 来 建立 林 中 第 二 个 域 树 sayiis.local， 并 且 是 通过 将 前 面 图 7-3- 
1 中 dc5.sayiislocal 升 级 为 域 控 制 器 的 方式 来 建立 此 域 树 ， 这 人 台 服 务 器 可 以 是 独立 服务 器 或 隶 


属于 其 他 域 的 现 有 成 员 服务 器 。 


STEP 


会 自动 将 其 首选 DNS 服务 器 的 ]P 地 址 改 为 自己 ( 127.0.0.1) 。 


STEP 加 ”打开 服务 器 管理 器 、 单 击 仪表 板 处 的 添加 角色 和 功能 。 


STEP 回 持续 单 击 文生 晶 控 钮 ， 直 到 在 图 7.3-4 中 为 选 Aetive Direetory 域 服务 ， 单 击 


按钮 

CT > 一 人 
| | 
| 选择 服务 器 角色 | 

于 要 交 半 关上 可 上 光一 个 守信 人 他 外- 

ma 可 

有 REC ao | 
Er 日 Aaka puscoo Re 目 区 | 
| 可 肯 于 目 Re | 
旦 日 gs | 
一 一 一 LIRmmY ee 志和 | 
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STEP 四 持续 单 击 刘 扶 钮 ， 直 到 出 现 确认 安装 选项 界面 时 单 击 要 测 护 乌 。 
STEP 回 图 7-3-5 为 完成 安装 后 的 界面 ， 请 单 击 将 此 服务 器 提升 为 域 控制 器 。 


而 2o 


请 先 在 图 7-3-1 右 上 角 的 服务 器 dc5.sayiis.local 上 安装 Windows Server 2016、 将 其 计算 机 
名 称 设置 为 dc5、1Pv4 地 址 等 如 图 所 示 来 设置 ( 图 中 采用 TCP/IPv4 ) 。 注 意 将 计算 机 名 
称 设置 为 dc5 即 可 ， 等 升级 为 域 控制 器 后 ， 它 就 会 自动 被 改 为 dc5.sayiislocal。 还 有 首 
选 DNS 服务 器 的 IP 地 址 请 指定 到 192.168.8.1 ， 以 便 通 过 它 来 找到 林 中 的 域 命 名 操作 主 
机 ( 也 就 是 第 一 合 域 控制 器 dcl ) ， 等 dec5 升 级 为 域 控制 器 与 安装 DNS 服务 妖 后 ， 系 统 
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= 人 | 
| 

| 
| 
二 


STEP 回 ”如 图 7-3-6 所 示 选 择 将 新 域 添加 到 现 有 林 、 域 类 型 选择 树 域 、 输 入 要 加 入 的 林 名 称 
sayms.local、 输入 新 域名 为 sayiislocal 后 单 击 因 测 按钮 


下 Ac Drvaon aa 7 | 


图 7346 
STEP 鞠 。 如 图 7-3-7 所 示 输 入 有 权限 新 建 域 树 的 用 户 账 户 ( 例如 saymsvadministrator ) 与 密码 后 单 


击 宣 和 按钮 。 回 前 一 个 界面 后 单 击 库 痢 接 钮 。 


Windows 安全 性 肌 
部 署 操 作 的 凭据 
为 此 部 署 操作 提供 插 据 
人 @ sayms\administrator 
eeeee 位 
城 : sayms 
73-7 


只 有 林 根 域 sayms.local 内 的 组 Enterprise Admins 的 成 员 才 有 权限 建立 域 树 。 
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STEP 四 


忆 


外 
这 
| 
] 


忆 


完成 图 7.3-8 中 的 设置 后 单 击 谓 习 乌 
选择 域 功能 级 别 : 此 处 假设 选择 Windows Server 2016. 
默认 会 直接 在 此 服务 器 上 安装 DNS 服务 器 。 
默认 会 扮演 全 局 编 录 服务 器 的 角色 。 
新 域 的 第 一 台 域 控制 器 不 能 是 只 读 域 控制 器 (RODC ) . 
选择 新 域 控制 器 所 在 的 AD DS 站 点 ， 目 前 只 有 一 个 默认 的 站 点 Default-First-Site-Name 
可 供 选 择 ， 
设置 目录 服务 还 原 模式 的 系统 管理 员 密码 ( 需要 符合 复杂 性 需求 ) 。 


下 Actve Direaor 本 尖 司 = 页 妈 
us 
域 返 制 器 选项 5 
一 Dr 全 
Cr 本 [人 | 
Hte 语 TREERIIS 人 | 
BE 了 二 DNSIES 油 O) 
本 = 辣 到 RiGciG) | 
抽 去 ji eaRDDcN | 
| ea norFra sae have 
| 目下 是 D5RMIE 
Er 本 
ER 
图 738 


STEP 回 ”出现 如 图 7-3-9 所 示 的 界面 表示 安装 向 导 找 不 到 父 域 ， 因 而 无 法 设置 父 城 将 得 鹿 


sayiis local 的 工作 委派 给 此 人 台 DNS 服 务 器 ， 然 而 此 sayiis.locat 为 根 域 ， 它 并 不 需要 通过 
父 域 来 委派 ， 故 直接 单 击 参 到 扶 钮 即 可 。 


下 Acive Drecor 所 可 配置 声 中 = 五 学 :| 
DNS 选项 cs 
PEEIEEIEEEEEEEEOTTIEEEERZZILEOUIEEEEECEE3 
1 HE DNS SS 网 
一 -一 已 旦 ovssao) 

其 他 寺 
图 739 


STEPE 四 在 图 7-3-10 中 单 击 放 和 刘 按 钮 。 图 中 安装 向 导 会 为 此 子 域 设置 一 个 NetBIOS 格 式 的 域 


网 >: 


名 1 不 分 大 小 写 ) ， 客 户 端 也 可 以 利用 此 NetBIOS 名 称 来 访问 此 域 的 资源 。 默 认 
NetBIOS 域 名 为 DNS 域名 中 第 一 个 句点 左 侧 的 文字 ， 例 如 DNS 名 称 为 sayiislocal， 则 
NetBIOS 名 称 为 SAYIIS。 
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葛 径 本 
图 73-10 
STEP E 在 图 7.3-11 中 可 直接 单 击 请 和 到 佼 钮 。 
本 Actve Directory 城 配 务 配置 向 守 一 口 其 
路 径 2 
呈 本 起 时 拓 二 AD 05 总 斌 日 坪 文件 和 SYSVOL 的 ta 本 
科 队 制 台 迁 硕 
DNS 荐 而 本 双 件 交 (D)- [CNWindowa\NTDS 司 
其 他 选 质 日 志文 件 文件 实 (): 人 四 
SYSVOL 文科 磋 (Y) :CNWindowas\SYSVDL | 
查看 选项 = 
图 7-3-11 


STEP E 四 。 在 查看 选项 界面 中 单 击 请 半天 拉 钮 。 
STEP 名 在 图 7-3-12 界 面 中 ， 如 果 顺 利通 过 检查 的 话 ， 就 直接 单 击 枉 按钮， 否则 请 根据 界面 


提示 先 排除 问题 


| 本 waive pireaen 吉本 5 机 本 = 有 克 
> 上 
先决 条 件 检查 5 
EEC 
天 他 还 而 人 Ba) | 
器 译 二 Windows Server 2015 训 风 抽 加 为 和 区 许 与 Windows NT 40 基 安 的 认 和 法 的 安全 
十 帮 宙 设 得 代 了 一 个 闪 值 ， 如 时 便 用 这 了 从 ， 季 全 生 建 去 全 克 放 人 放生 名 上 供用 加 到 汉字 
0 大 坟 
| ET 再 关 此 设置 的 主 蜂 名 ,请 ER 文生 942564 fhttpV//go rnicrosoftcorVfwfink/7 
| ngid=104751)、 


.以 各 过。 
| 和夫 间 六 
多 帮 肝 亲人 愉 查 吉 成功 通过 ， 请 单机 安 彼 开始 安 轩 . 
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注意 全 


除了 sayms.local 的 del 之 外 ，sh.sayms.iocal 的 dc3 也 必须 在 在 线 ， 否 则 无 法 将 跨 域 的 信息 
( 例如 架构 目录 分 区 、 配置 目录 分 区 ) 复制 给 所 有 域 ， 因 而 无 法 建立 sayiis.local 域 与 树 
状 目录 。 


STEPE 安装 完成 后 会 自动 重启 。 可 在 此 域 控制 器 上 利用 域 sayiis:local 的 系统 管理 员 
sayiisvadministrator 或 林 根 域 系 统管 理 员 sayms\ administrator 身 份 登录 。 


完成 域 控制 器 的 安装 后 ， 因 它 是 此 域 中 的 第 一 台 域 控制 器 ， 故 原本 此 计算 机 内 的 本 地 用 


户 账 户 会 被 转移 到 AD DS 数 据 库 。 它 同时 也 安装 了 DNS 服务 器 ， 其 中 会 自动 建立 如 图 7-3-13 
所 示 的 区 域 sayiis.local， 用 来 提供 此 区 域 的 查询 服务 。 


六 DNS 管理 号 ET 
文 作 (上 握 fFIA) 坦 看 (V) 一 (H) 
和 中 | 为 硬 | 国 后 订 | 回 古 | 引 自 去 


芒 DNS 名 称 7 E 
有 昌 bc 司 mide 
Y 汪 正和 相投 区 各 习 ses 
本 sayislecal 司 避 
二 丽 向 查 拉 区 域 司 几 
二 们 伯 针 发 器 


由 司 光 文件 闪 福 同 ) 。 起 抬 授 权 机 构 (SOAJ 。 TH, dc5 sayiisjocal, ho. 
目 与 允 广 件 去 相同 。 名 称 服 务 吕 (NS) dc5sayiisjocal, 


国人 与 六 六 件 夫 恨 同 ) 主机 LA) 192.168.8.11 
| 目 dcs 主 WUA) 192.168.8.11 
图 73-13 


此 DNS 服务 器 会 将 非 sayiis.local 的 所 有 其 他 区 域 (包含 sayms.local) 的 查询 要 求 通过 转发 
器 转发 给 sayms.local 的 DNS 服务 器 〈IP 地 址 为 192.168.8.1) ， 可 以 在 DNS 管理 控制 台 内 通过 
【如 图 7-3-14 所 示 单 击 服务 器 DC5 纺 单 击 上 方 属性 图 标 纺 如 前 景 图 所 示 的 转发 器 选项 卡 来 查看 
此 设置 】。 


总 DNS 人 理 问 二 一 明 X 
六 人们 。 扣 fEA)。 查看 天 HI 
和 中 | 二 |[( 国 六 词 | 吕 | 让 目 襄 


5 DC5 醒 性 王 X 
本 下 mmE 直 《Ra ma 本 Be 种 晤 让 
避 sqyislocal 
了 ERE 志 GONG， 
开 条件 转发 路 二 


图 73-14 


国 2o 
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这 人 台 服 务 器 的 首选 DNS 服务 器 的 古 地 址 会 如 图 7-3-15 所 示 被 自动 改 为 指向 自己 
(127.0.0.1) ， 而 原本 位 于 首选 DNS 服务 器 的 下 地 址 〈192.168.8.1) 会 被 设置 为 备用 DNS 服务 器 。 


| menet WE 二 4TTCPHIPvq) 必 性 
| 

| 琵 秽 

| 


如果 网 交 持 此 功能 ， 生 可 以 榨取 白 动 扫 折 的 |P 公 杜 ， 去 和 .全 委 要 从 阿 
泛 系 洗 生理 员 处 自理 笑 尖 9 IP 们 和 - 


| 
口 自 动 本 则 ip 地 址 (O) 
全 全 用 下 到 的 | 地 直 (S 


名 地 直人: 1 6 | 


子 胸 天) 二 
网 [> 一 | 
全 二 DNS 梢 和 Bi 
国有 TEN DNS 醒 务 Bot- 
商 运 DNS 本 务 者 (P): 
最 用 DNS 服务 器 (A) 


图 73-15 


我 们 等 一 下 要 到 DNS 服务 器 del.sayms.local 内 建立 一 个 辅助 区 域 sayiislocal， 以 便 让 域 
sayms.local 的 成 员 计算 机 可 以 查找 到 域 sayiis.local 的 成 员 计算 机 。 此 区 域内 的 记录 将 通过 区 域 
传送 从 dc5.sayiis.local 复 制 过 来 ， 不 过 我 们 需要 先 在 dc5.sayiis.local 内 设置 ， 来 允许 此 区 域内 的 


记录 可 以 区 域 传送 给 dc1.sayms.local (192.168.8.1) : 如 图 7-3-16 所 示 【 选 9 


区 域 sayiis.local 人 
单 击 上 方 属性 图 标 纺 如 前 景 图 所 示 通 过 区 域 传送 选项 卡 来 设置 】。 
三 去 二 - 
讽 ”RHRIGOA) 生硬 WINdC El) 


接 下 来 到 dcl.sayms.local 这 台 DNS 服 务 
192.168.8.11 (dcs.sayiislocal) 来 执行 区 域 
(dcs.sayiis.local) ， 图 7-3-17 为 完成 后 的 界 于 


传送 传送 过 来 的 。 


图 73-16 


器 上 新 建 正 向 辅助 区 域 sayiislocal ， 并 选择 从 
传送 操作 ， 也 就 是 其 主 服务 器 是 192.168.8.11 
再 ， 界 面 右 侧 的 记录 是 从 dc5.sayiis.local 通 过 区 域 
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| 3 ons ga = 五 

日 末 当 MI 人 | 

和 中 | 王后 | 其 局 着 | 四 人 吕 | 放量 避 

EL | sg 去 于 瑟 二 可 
RS 忆 s jsstRilats ITTL dc5sayisloc。 者 二 
2 人 Eee | 同 4sxxezfaa。 SPIES 到 NG dc5coyiclocal 。。 关 
二 3 | 园 (swxrtsB 三 8Al 192168a11 笃 
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图 73-17 


1. 如果 区 域 sayiislocal 前 出 现 红色 X 符 号 的 话 ， 请 先 确认 dc5.sayiis.local 已 允许 区 域 传送 
给 del.sayms.local， 然 后 【选中 sayiis.local 区 域 并 右 击 纺 选择 从 主 服务 器 传输 或 从 主 服 
务 器 传送 区 域 的 新 副本 ] 。 

2. 如 果 要 建立 图 7-3-1 中 sayiis.local 之 下 子 域 hk,sayiis.local 的 话 ， 请 将 de6.hk.sayiis.local 的 
首选 DNS 服务 器 指定 到 dc5.sayiis.local ( 192.168.8.11 ) 。 


7.4 ”删除 子 域 与 域 树 


我 们 将 利用 图 7-4-1 中 左下 角 的 域 sh.sayms.local 来 说 明 如 何 移 除 子 域 ， 同 时 利用 右 侧 的 域 
sayiis.local 来 说 明 如 何 删除 域 树 。 删 除 的 方式 是 将 域 中 的 最 后 一 台 域 控制 器 降级 ， 也 就 是 将 
AD DS 从 该 域 控制 器 删除 。 至 于 如 何 删除 额外 域 控 制 器 dc2.sayms.locai 与 林 根 域 sayms.local 的 
说 明 已 经 在 第 2 章 介绍 过 了 ， 此 处 不 再 重复 。 


第 一 台 域 摊 删 糙 友 Te dcs sayiis .local 
DNS 服务 中 人 TB:192.168.8.11124 
delsaymslocal 民 DNS:T92.1 傅 谤 ] DNS:192.168.8. 
1P1921688124 卫 必 2 ( 城 控制 器 { 域 控制 器 & 
DNS;192.16881 TDNS 骸 务 器 ) 


DNS 服务 些 ) 


dc3shsaymslocal 


DNS:192,168.8.1 
( 域 控制 器 芭 
DNS 服务 炊 


den saymslocal 
{( 域 控制 器 & 
DNS 服务 闫 ) 
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必须 是 Enterprise Admins 组 内 的 用 户 才 有 权利 来 删除 子 域 或 域 树 。 由 于 删除 子 域 与 域 树 的 
步骤 类 似 ， 因 此 以 下 利用 删除 子 域 sh.sayms.local 为 例 来 说 明 ， 而 且 假 设 图 中 的 


dc3.sh.sayms.local 是 这 个 域 中 的 最 后 一 台 域 控制 器 。 


STEP 番 到 域 控制 器 dc3.sh.sayms.local 上 利用 sayms\Administrator 身 份 ( Enterprise Admins 组 的 
成 员 ) 登录 纪 打开 服务 器 管理 器 纺 选 择 图 7-4-2 中 管理 菜单 下 的 删除 角色 和 功能 。 
[7 三 和 二 着 
IE 
5 
下 二 地 生生 要 让 醒 | 
[ 二 
和 时 全 | 全 本 雍 术 wsaesaae 
昌 DNS 
而 文件 和 万 依 李 和 上 2 夭 加 角色 和 功能 
图 742 
STEP 加 


持续 单 击 上 击 技 锯 ， 直 到 出 现 图 7-4-3 的 界面 时 ， 取 消 勾 选 Aetive Directory 域 服 
务 ， 单 击 山 隆 贡 旬 掖 钮 。 


瑟 员 险 角色 和 W 训 自 导 一 口 革 
删除 服务 器 角色 | 
天 此 2Z 划 者 磊 从 所 示 最 务 力 基 续 去 舌 的 一 个 坏 全 个 多 杷 ， 请 清 如 相 应 的 得 运 枉 、 
服务 友 二 迫 加 色 重 壕 
Active Directory Rights Maragerment Servicer Arive Directory 二 加 务 (AD DS) 存 
到 着 Ho 并 隐 用 
和 Dr 人 让 全 罗 用 Cssassessge 人 
本 | 有 
回 DNS 王 S 喇 
图 743 
STEP 回 。 出现 图 7-4-4 的 界面 时 ， 单 击 将 此 域 控制 器 降级 。 
下 出 除 售 色 和 功能 向 导 眉 


【xi 

验证 过 程 发 现 你 要 从 中 删除 功能 的 服务 器 存在 辣 禾 。 无 法 从 所 选 卢 务 器 中 删除 所 先 功 能. 单 
击 ' 请 十" 让 择 其 他 功能 , 

险 下 结果 慑 到 区 


加 图 dashsaymslocal 


在 得 除 AD DS 全 色 之 前 ， 雪 要 棕 Active Directory 这 控制 器 降 级， 
CEEaewan97 


图 744 
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STEP 


IEED 


当前 登录 的 用 户 为 saymsAdministrator， 该 用 户 有 权 移 除 此 域 控制 器 ， 故 请 在 图 7-4.5 
中 直接 单 击 戎 等 惠 以 钮 ( 否则 需 单 击 于 测 按 钮 来 输入 另 一 个 账户 与 密码 ) 。 同 时 因为 
它 是 此 域 的 最 后 一 台 域 控制 器 ， 故 需要 勾 选 域 中 的 最 后 一 个 域 控制 器 。 


枚 Active Diredory 城 旦 务 筷 秆 向 导 1 学 
伍 : 目 际 时 反串 
记 ] aashsaymslocal 
Te 

人 SHwdminissrator [天 用 户 1 CE 
国 入 和 和 
ce 训 到 二 除 此 二 六 路 
坟 全 至 后 二 瑟 枯 天 二 际 克 他 过 过 机 是， 失明 作 直 导 仇 此 城池 制 二 上 的 所 有 Active Diyectory 所 验 导 更 攻 天 
吉 委 基 二 关 。 如 果 信 要 最 续 ， 汪 这 是 城 十 的 量 后 一 人 氏 入 制 . 
半 过 的 最 后 一 个 控 () 


如 果 因 故 无 法 删除 此 域 控制 器 的 话 ， 可 以 勾 选 图 中 的 强制 删除 此 域 控制 器 。 


STEP 昌 


STEP 回 


大 2 


在 图 7-4-6 中 勾 选 继续 删除 后 羊 击 证 二 天 扩 钮 。 


天 Acqive Directony 域 醒 本 村 向 导 二 [二 1 水 
目标 服务 器 
警告 ah saymslocal 
英 司 六 制 舌 当 前 扮 庆 下 从 多 - 
“号 名 系统 [DNS 可 秀 吕 
“全 局 枯 芝 
可 尘 壕 项 
新 丁 理 页 到 贡 Active Directory 城 妥 务 功 矣 委 更 用 二 制 区 各区 的 俘 人 各 条 沁 给 ， 革 此 Active 
查看 大 Directory 城 骤 务 担 作 可 能 生生 影响 
[ee 


图 7-46 
出 现 如 图 7-4-7 所 示 的 界面 时 ， 可 选择 是 否 要 删除 DNS 区 域 与 应 用 程序 目录 分 区 。 由 于 
图 中 选择 了 将 DNS 区 域 删除 ， 因 此 也 要 将 父 域 { sayms.local ) 内 的 DNS 子 区 域 ( sh， 


[本 一 曲 X 
说 目标 骤 务 亚 
删除 选项 aaaleeal 
后 所 有 此 DNS 区 志 ( 二 未 才 流 区 城 的 最 所 一个 DNS 村 和 所 XIM) 
号 于 本 二 用 本 分 区 ) ES 
同 9 DNs 关上 
新 和 理 只 声 瑟 1 
查看 可 让 本 [ao 


图 7T47 
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如 果 没有 权限 删除 父 域 的 DNS 委派 区 域 的 话 ， 请 通过 单 击 珊 纪 按 钮 来 输入 Enterprise 
Admins 内 的 用 户 账 户 { 例如 sayms\Administrator ) 与 密码 。 


STEP 贺 。 在 图 7-4-8 中 为 这 合 即将 被 降级 为 独立 服务 器 的 计算 机 ， 设 置 其 本 地 Administmator 的 新 
密码 ( 需要 符合 密码 复杂 性 要 求 ) 后 单 击 铺 三 虽 以 钮 


全 Acive Dectory 城 阴 枯 下 内 导 = 史 区 


图 748 


STEP 回 在 查看 选项 界面 中 单 击 降 绝 扩 钮 
STEP 回 。 完成 后 会 自动 重新 启动 计算 机 ， 请 重新 登录 。 


虽然 此 服务 器 已 经 不 再 是 域 控制 器 了 ， 不 过 其 Active Direetory 域 服务 组 件 仍然 存在 ， 并 
没有 被 删除 ， 因 此 如 果 之 后 要 再 将 其 升级 为 域 控制 器 的 话 ， 请 单 击 服务 器 管理 器 上 方 旗 
帜 符号 ， 单 击 将 此 服务 器 提升 为 域 控制 器 ( 可 参考 图 7-2-3 ) 。 以 下 我 们 将 继续 执行 删除 
Aetive Directory 域 服务 组 件 的 步骤 。 


STEPE 四 在 服务 器 管理 器 中 单 击 管理 菜单 下 的 删除 角色 和 功能 。 
STEP 加 持续 单 击 这 和 间 按钮 ， 直 到 出 现 如 图 7-4-9 所 示 的 界面 时 ， 取 消 勾 选 Active Direetory 


域 服务 ， 单 击 草 除 六 全 控 钮 。 


民用 多 BID 站 时 一 证 入 
删除 服务 器 角色 罗 
于 了 之 前 共和 枯 从 所 计 且 和 只 安 和 的 个 于 个 作 色 二 但 的 槛 运 征 . 


可 务 双 塌 笃 用 色 后 壕 
5 Actve Directony Rights 


-一 pr 人 
@@eir Directary 天 最 务 起 RMS 0 
Active Directory 证 书 服务 | 未 安插 | 
DHCF 醒 务 器 才 安 法 ) 
加 DNS 表 S 路 一 
图 749 
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STEP 


STEP 
STEP 上 3 
STEP 因 


回 到 删除 服务 器 角色 界面 时 ， 确 认 Active Directory 域 服务 已 经 被 取消 勾 选 ( 也 可 以 同 
时 取消 勾 选 DNS 服务 器 ) 后 单 击 试 提 技 钮 。 

出 现 删除 功能 界面 时 ， 单 击 请 夺 漳 扶 钮 。 

在 确认 删除 选项 界面 中 单 击 员 策 按钮 。 

完成 后 ， 重 新 启动 计算 机 。 


7.5 “更改 域 控制 器 的 计算 机 名 称 


如 果 因 为 公司 组 织 变更 或 为 了 让 管理 工作 更 为 方便 ， 而 需要 更 改 域 控制 器 的 计算 机 名 称 


的 话 ， 此 时 可 以 使 用 Netdom.exe 程 序 。 必 用 


少 是 求 属于 Domain Admins 组 内 的 用 户 ， 才 有 权 


限 更 改 域 控制 器 的 计算 机 名 称 。 以 下 范例 假设 要 将 域 控 制 器 dc5.sayiis.local 改 名 为 


dc5x.sayiis.local。 


STEP 舍 


到 dc5.sayiis.local 以 系统 管理 员 sayiisAdministrator 的 身份 登录 也 单 击 左 下 角 开 始 图 标 


困 2Windows PowerShefI3 执 行 以 下 命令 ( 参见 图 7-5-1 ) 


netdomcomputernamedc5.sayias,Iocal /add:dc5x.sayiis.]loca 开 


研 管理 员 : Windows powerShell 


ae dc5.S8yiiSi 工 0 


图 751 
其 中 dc5.sayiis.local ( 主要 计算 机 名 称 ) 为 当前 的 旧 计 算 机 名 称 、 而 dcSx.sayiis.local 为 
新 计算 机 名 称 ， 它 们 都 必须 是 FPQDN。 上 述 命令 会 为 这 人 台 计 算 机 另外 新 建 DNS 计算 机 
名 称 dc5x:sayiis,local ( 与 NetBIOS 计 算 机 名 称 DCSX ) ， 并 更 新 此 计算 机 账户 在 AD DS 
中 的 SPN {( service principal name ) 属性 ， 也 就 是 在 这 个 SPN 属 性 内 同时 拥有 当前 的 旧 
计算 机 名 称 与 新 计算 机 名 称 。 注 意 新 计算 机 名 称 与 日 计算 机 名 称 的 后 缀 必须 相同 ， 例 


如 都 是 sayiis.localo 


IEED 


SPN ( service Principal name ) 是 一 个 包含 多 重 设置 值 ( multivalue ) 的 名 称 ， 它 是 根据 
DNS 主机 名 来 建立 的 。SPN 用 来 代表 某 台 计算 机 所 支持 的 服务 ， 其 他 计算 机 可 以 通过 
SPN 来 与 这 全 计算机 的 服务 通信 。 


转 2io 
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STEP 回 可 以 通过 以 下 方法 来 查看 在 AD DS 内 新 建 的 信息 : 【 按 田 +[ 人 链 2 执行 
ADSIEDIT.MSC2 选 中 ADSI 编 辑 器 并 右 击 2 连 接 到 2 直接 单 击 岗 草 按 钮 ( 采用 默认 命 
令 上 下 文 ) 2 如 图 7-5-2 背 景 图 所 示 展 开 到 CN=DCS3 单 击 上 方 属性 图 标 纺 从 前 景 图 可 
看 到 另外 新 建 了 计算 机 名 称 DC5X 与 dc5x.sayiis.local ] 。 


卫 As weGB 和 “板子 法 
mm an am 本 
和 中 五 阿 #} 且 页 


列 CN=Dc5 尾 性 多 共 


msCOM-UserpartitionSetilink < 未 疫 置 > 
msDRM-ldentityCerti < 未 设置 > 
maDS-Ad OCSCU 


-AddiionalsamAccou-、 < 未 设置 > 加 
msDS-AllowedToActonBeh-。 < 未 设置 > 
msDS-AllowedToDelegateTo < 未 设置 ~ 


图 752 
STEP 贺 。 如 图 7-5-3 背 景 图 所 示 继 续 往 下 浏览 到 属性 servicePrincipaIName， 双 击 它 后 可 从 前 景 图 
看 到 添加 在 SPN 属 性 内 与 新 计算 机 名 称 有 关 的 属性 值 。 


Ch=ocs 有 和 本 


人 吉 相交 全 


图 753 
STEP 四 。 上 述 命令 也 会 在 DNS 服务 器 内 注册 新 计算 机 名 称 的 记录 ， 如 图 7-5-4 所 示 。 


211 国 


STEP 固 


STEP 回 


STEP 回 
STEP 回 
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口 | 


总 DNS 亿 理 当 ee 人 
文件 (有 各 人 F(A) 查看 (V) 帮助 (H) 
和 中 | 二 页 | 国医 马 | 占 辐 | 夺目 下 


吕 ps ] 和 7 有 
沁 ss | 园 旺 wx 作 关 本 2 和 机构 SOA) [201 dc5sayiislocal ho_ 
Fe 和 | 目 二 wrtx4B 且 ) 包 和 最 务 器 (NS dc5sayiislocal 


量 .medcsreaymslocal| 周全 X 文 人 夫 相 辣 ) HA 192168811 
sisloaal 


图 754 
请 等 修一 段 足 够 的 时 间 ， 以 便 让 SPN 属 性 复制 到 此 域内 的 所 有 域 控制 器 ， 而 且 管辖 此 
域 的 所 有 DNS 服务 器 都 接收 到 新 记录 后 ， 再 继续 以 下 删除 旧 计 算 机 名 称 的 步骤 ， 否 则 
因为 有 些 客户 端 通过 DNS 服务 器 所 查询 到 的 计算 机 名 称 可 能 是 目的 ， 同 时 其 他 域 控制 
器 可 能 仍然 是 通过 旧 计 算 机 名 称 来 与 这 人 台 域 控制 器 通信 ， 故 如 果 先 执行 以 下 删除 旧 计 
算 机 名 称 步 骤 的 话 ， 则 它们 利用 日 计算 机 名 称 来 域 控制 器 通信 时 会 失败 ， 因 为 
旧 计 算 机 名 称 已 经 被 删除 ， 因 而 会 找 不 到 这 全 域 按 
执行 以 下 命令 { 如 图 7-5-5 所 示 ) : 


FEEGimcomputernamedc5.sayifts.local /makeprimary:dc5x。sayiis.Iiocal 


要 计算 机 名 称 


将 新 计算 机 名 称 dcSx.sayiis.local 设 置 


indows powerShell < 口 闪 


图 7-5-5 


重新 启动 计算 机 。 

以 系统 管理 员 身 份 到 dcs.sayiis.local 登 录 驴 单 击 左下 角 开 始 图 标 因 Q2Windows 
PowerShell2 执 行 以 下 命令 

metaomcompiternameac5X.Sayiis.local /removeddc5.sayiis-IOcal 

此 命令 会 将 当前 的 旧 计 算 机 名 称 删 除 ， 在 删除 此 计算 机 名 称 之 前 ， 客 户 端 计算 机 可 以 
同时 通过 新 、 旧 计算 机 名 称 来 找到 这 人 台 域 控制 器 。 


第 7 章 建立 域 禁 与 林 “| 时时 


| 困 管理 员 : Windows Powershell 5 


图 7-546 

虽然 也 可 以 直接 通过 【打开 服务 器 管理 器 纪 单 击 本 地 服务 器 纪 单 击 计算 机 名 称 处 的 计算 
机 名 称 dc53 如 图 7-5-7 所 示 单 击 王 按钮】 的 防范 来 更 改 计算 机 名 称 ， 然 而 这 种 方法 会 将 目 
前 的 旧 计算 机 名 称 直接 删除 ， 换 成 新 计算 机 名 称 ， 也 就 是 新 旧 计算 机 名 称 不 会 并 存 一 段 时 
间 。 这 个 计算 机 账户 的 新 SPN 属 性 与 新 DNS 记录 ， 会 延迟 一 段 时 间 后 才 复 制 到 其 他 域 控制 器 
与 DNS 服务 器 ， 因 而 在 这 段 时 间 内 ， 有 些 客户 端 在 通过 这 些 DNS 服 务 器 或 域 控 制 器 来 查找 这 
台 域 控制 器 时 ， 仍 然 会 使 用 旧 计 算 机 名 称 ， 但 是 因为 旧 计 算 机 名 称 已 经 被 删除 ， 故 会 找 不 到 
这 人 台 域 控制 器 ， 因 此 建议 还 是 采用 metdom 命 令 来 更 改 域 控制 器 的 计算 机 和 名称。 


3 yx 
| HS 有 去 全 | 
国 。 wrdows ty 下 信 四 网络 FREE 人 计算机 | 

| 


iaE(D): | | 
| 二 
| Se 
| 计划 全 和- de5-sayislocal 
趟 asocal | 
要 量 坟 和 这 计生 机， 或 要 下 其 关 可 工作 看， 过去 -更 | 
疏 , 
图 757 


也 可 以 利用 Rendom.exe 等 相关 命令 来 更 改 域名 ， 不 过 步骤 较 烦 琐 ， 有 需要 的 话 ， 请 参考 
微软 网 站 上 的 说 明文 件 。 


213 围 


第 8 章 ”管理 域 与 林 信 任 


两 个 域 之 间 具备 信任 关系 后 ， 双 方 的 用 户 便 可 以 访问 对 方 域内 的 资源 并 利用 对 方 域 的 成 
员 计算 机 登录 。 

当 域 与 林 信 任 概述 

外 建立 快捷 方式 信任 

站 建立 林 信 任 

半 建立 外 部 信任 
习 管理 与 删除 信任 


第 8 章 管理 域 与 林 信任 | 轩 量 


8.1 域 与 林 信 任 概述 


信任 〈trust) 是 两 个 域 之 间 沟 通 的 桥梁 ， 两 个 域 相互 信任 之 后 ， 双 方 的 用 产 便 可 以 访问 
对 方 域内 的 资源 ， 利 用 对 方 域 的 成 员 计算 机 登录 。 


8.1.1 “信任 域 与 受信 任 域 


以 图 8-1-1 来 说 明 ， 当 A 域 信任 B 域 后 : 


涪 A 域 被 称 为 信任 域 (trusting domain ) ， 而 B 域 被 称 为 受信 任 域 (trusted domain ) 。 

站 B 域 的 用 户 只 要 具备 适当 的 权限 ， 就 可 以 访问 A 域 内 的 资源 ， 例 如 文件 、 打 印 机 等 ， 因 
此 A 域 被 称 为 资源 城 (resources domain ) ， 而 B 域 被 称 为 账户 域 (accounts domain ) ， 

站 B 域 的 用 户 可 以 到 A 域 的 成 员 计算 机 上 登录 、 


信人 Frus) 。 


受信 任 域 


和 人 imusted domainj 


唐 芝 一 


A 域 的 用 户 却 不 能 访问 B 域 内 资源 、 也 不 能 到 B 域 的 成 员 计算 机 上 登录 ， 除 非 B 域 也 信任 
A 域 。 


包 图 中 的 信任 关系 是 A 域 信任 B 域 的 单 向 信任 (one-way trust) ， 如 果 B 域 也 同时 信任 A 
域 的 话 ， 则 我 们 将 其 称 为 双向 信任 ( sho-way trust) ， 此 时 双方 都 可 以 访问 对 方 的 资 
源 ， 也 可 以 利用 对 方 的 成 员 计算 机 登录 。 


8.1.2 ” 跨 域 访问 资源 的 流程 


当 用 户 在 某 台 计算 机 登录 时 ， 系 统 必 须 验证 用 户 身 份 ， 而 在 验证 身份 的 过 程 中 ， 除 了 需 
要 确认 用 户 名 称 与 密码 无 误 外 ， 系 统 还 会 为 用 户 建立 一 个 aceess token 〈 访 问 令 牌 ) ， 其 中 包 
含 着 该 用 户 账户 的 SID 〈Security Identifier) 、 用 户 所 隶属 的 所 有 组 的 SID 等 数据 。 用 户 取得 
这 个 access token 后 ， 当 他 要 访问 本 地 计算 机 内 的 资源 时 【〔 例 如 文件 ) ， 便 会 出 示 access 
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token， 而 系统 会 根据 access foken 内 的 SID 数 据 来 决定 用 户 拥有 何 种 权限 。 


负责 验证 用 户 身份 的 服务 是 Local Security Authority ( LSA ) ， 而 验证 用 户 身份 的 方法 分 
为 Kerberos 与 NTLM 两 种 。 


同 理 当 用 户 连接 网 络 上 其 他 计算 机 时 ， 这 人 台 计 算 机 也 会 为 该 用 户 建立 一 个 access token， 
而 当 用 户 要 访问 此 网 络 计算 机 内 的 资源 时 《例如 共享 文件 夹 ) ， 便 会 出 示 access token， 这 人 台 
网 络 计算 机 便 会 根据 access token 内 的 SID 数 据 ， 来 决定 用 户 拥有 何 种 访问 权限 。 


| 由 于 access token 是 在 登录 ( 本 地 登录 或 网 络 登录 ) 时 建立 的 ， 因 此 如 果 在 用 户 登录 成 功 
之 后 ， 才 将 用 户 加 入 到 组 的 话 ， 此 时 该 access token 内 并 没有 包含 这 个 组 的 SID ， 因 此 用 
户 也 不 会 具备 该 组 所 拥有 的 权限 。 用 户 必须 注销 再 重新 登录 ， 以 便 重新 建立 一 个 包含 这 
个 组 SID 的 access tokene 


图 8-1-2 为 一 个 域 树 ， 图 中 父 域 〈sayms,local ) 与 两 个 子 域 〈sh.sayms.local 与 cn.saymas. 
local) 之 间 有 着 双向 信任 关系 。 我 们 利用 此 图 来 解释 域 信任 与 用 户 身 份 验证 之 间 的 关系 ， 而 
是 是 要 通过 子 域 en.sayms.local 信 任 根 域 sayms.local、 根 域 sayms.local 信 任 子 域 sh.sayms.local 
这 条 信任 路 径 (trust path) ， 来 解释 当 位 于 子 域 sh.sayms.local 内 的 用 户 George 要 访问 另外 一 
个 子 域 cn.sayms.local 内 的 资源 时 ， 系 统 是 如 何 来 验证 用 户 身份 与 如 何 来 建立 access token。 


用 户 George 访 问 \ServerAvtools 时 , 验 
证 身份 (nuthentication) 的 流程 


Sayms lc 可 


图 8&-122 


天 21s 
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图 中 George 是 子 域 sh.sayms.local 的 用 户 ， 而 ServerA 位 于 另 一 个 子 域 cn.sayms.local 内 ， 当 
George 要 访问 共享 文件 志 \ServerA\vtools 时 ，George 的 计算 机 需要 先 取得 一 个 用 来 与 ServerA 通 
信 的 service ticket《〔〈 服 务 票证 ) 。George 的 计算 机 取得 service ticket 并 与 ServerA 通 信 成 功 后 ， 
ServerA 会 发 放 一 个 access token 给 George， 以 便 让 George 利 用 这 个 access token 来 访问 位 于 
ServerA 内 的 资源 。 以 下 详细 说 明 其 流程 《请 参照 图 8-1-2 中 的 数字 ) : 


(1) George 利 用 所 属 域 sh.sayms.local 内 的 用 户 账 户 登 录 。 

当 George 在 工作 站 A 登 录 时 ， 会 由 其 所 属 域 的 域 控 制 器 DC1 来 负责 验证 George 的 用 户 名 称 
与 密码 ， 同 时 发 放 一 个 TickeL-Granting-Ticket 〈TGT， 索 票 任 证 ) 给 George， 以 便 让 George 利 
用 TGT 来 索取 一 个 用 来 与 ServerA 通 讯 的 service ticket。 用 户 George 登 录 成 功 后 ， 开 始 访问 共 
享 文件 夹 \WServerA\tools 的 流程 。 


IEED 


可 以 将 TGT 视 为 通行 证 ， 用 户 必须 拥有 TGT 后 ， 才 可 以 索取 service ticket。 


(2) 工作 站 A 会 向 所 属 域内 扮演 Key Distribution Center (KDC) 基色 的 域 控制 器 DC1， 
索取 一 个 用 来 与 服务 器 ServerA 通 信 的 service ticket。 

3》 域 控制 器 DC1 愉 查 其 数据 库 后 ， 发 现 ServerA 并 不 在 它 的 域内 〈sh.sayms.local) 
因此 转向 全 局 编 录 服务 器 来 查询 ServerA 是 位 于 哪 一 个 域内 。 

全 局 编 录 服务 器 根据 其 AD DS 数 据 库 的 记录 ， 得 知 服务 器 ServerA 是 位 于 子 域 
cn.sayms.local 内 ， 便 将 此 信息 通告 域 控制 器 DC1。 

54) 域 控制 器 DC1 得 知 ServerA 是 位 于 域 cn.sayms.local 后 ， 它 会 根据 信任 路 径 ， 通 知 工 
作 站 A 去 找 信任 域 sayms.local 的 域 控制 器 DC2。 

(5) 工作 站 A 向 域 sayms.local 的 域 控制 器 DC2 查 询 域 cn,sayms,local 的 域 控制 器 。 域 控制 
器 DC2 通 知 工作 站 A 去 找 域 控制 器 DC3。 

56] 工作 站 A 向 域 控制 器 DC3 索 取 一 个 能 够 与 ServerA 通 讯 的 service ticket。 域 控制 器 
DC3 发 放 service ticket 给 工作 站 A。 

(7) 工作 站 A 取 得 service ticket 后 ， 它 会 将 service (ticket 发送 给 ServerA 。ServerA 读 取 
service ticket 内 的 用 户 身份 数据 后 ， 会 根据 这 些 数据 来 建 Yaccess token， 然 后 将 access token 发 
送 给 用 户 George。 

从 上 面 的 流程 可 知 ， 当 用 户 要 访问 另外 一 个 域内 的 资源 时 ， 系 统 会 根据 信任 路 径 ， 依 序 
跟 每 一 个 域内 的 域 控制 器 交互 后 ， 才 能 够 叹 得 access token， 并 依据 aceess token 内 的 SID 数 据 
来 决定 用 户 拥有 何 种 权限 。 
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8.1.3， 信 任 的 种 类 


总 共有 6 种 类 型 的 信任 关系 ， 如 表 8-1-1 所 示 ， 其 中 前 面 两 种 是 在 新 建 域 时 ， 由 系统 自动 
建立 的 ， 其 他 4 种 必须 自行 手动 建立 。 


表 8-1-1 
信任 类 型 名 称 传递 性 单 向 或 双向 
父 一 子 (Parent-Child)》 是 双向 
树 状 一 根 目录 〈Tree-Root) 是 双向 
快捷 方式 《Shortcut) 是 (部 分 ) 单间 或 双向 
林 (Forest) 是 【部 分 ) 单 向 或 双向 
外 部 〈External) 否 单 向 或 双向 
领域 (Realm) 是 或 否 单 向 或 双向 


1 父 一 子 信任 
同一 个 域 树 中 ， 父 域 与 子 域 之 间 的 信任 关系 称 为 父 一 子 信任 ， 例 如 图 8-13 中 的 


Saymas.local 与 sh.sayms.local 之 间 、sayms.local 与 cn.sayms.local 之 间 ，sayiis.local 与 hk.sayiis.local 
之 间 ， 这 个 信任 关系 是 自动 建立 的 ， 也 就 是 说 当 在 域 树 内 新 建 任何 一 个 AD DS 子 域 后 ， 此 子 
域 便 会 自动 信任 其 上 一 层 的 父 域 ， 同 时 父 域 也 会 自动 信任 这 个 新 的 子 域 ， 而 且 此 信任 关系 具 
备 双向 可 传递 性 〈 相 关 说 明 可 参考 第 ! 章 ) 。 


Te 2 
中 SBymsJocal SYS ocal 
ea 


图 813 


2. 树 状 一 根 目录 信任 


同一 个 林 中 ， 林 根 域 (forest root domain， 如 图 8-1-3 中 的 sayms.local) 与 其 他 域 树 的 根 域 
(tree root domain， 如 图 中 的 sayiis.local) 之 间 的 信任 关系 被 称 为 树 状 一 根 目录 信任 。 


图 2+s 
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此 信任 关系 是 自动 建立 的 ， 也 就 是 说 当 在 现 有 林 中 新 建 一 个 域 树 后 ， 林 根 域 与 这 个 新 域 
树 根 域 之 间 会 自动 相互 信任 对 方 ， 而 且 这 些 信任 关系 具备 双向 可 传递 性 ， 因 此 双方 的 所 有 域 
之 间 都 会 自动 双向 信任 。 


3. 快捷 方式 信任 


快捷 方式 信任 可 以 缩短 验证 用 户 身份 的 时 间 。 例 如 若 图 8-1-4 中 域 cn.sayms.local 内 的 用 户 
经 常 需要 访问 域 hk.sayiis.local 内 的 资源 ， 如 果 按 照 一 般 验证 用 户 身份 所 走 的 信任 路 径 ， 就 必 
须 浪费 时 间 经 过 域 sayiis.local 与 sayms.local， 然 后 再 传递 给 cn.sayms.local 的 域 控制 器 米 验 证 ， 
此 时 如 果 我 们 在 域 cn.sayms.local 与 hk.sayiis.local 之 间 建 立 一 个 快捷 方式 信任 ， 也 就 是 让 域 
hk.sayiis.local 直 接 信任 cn,sayms,local， 则 域 hk.sayiis.ljocal 的 域 控 制 器 在 验证 域 cn.sayms.local 的 
用 户 身份 时 ， 就 可 以 跳 过 域 sayiis.local 与 sayms.local， 也 就 是 直接 传递 给 域 cn.sayms.local 的 域 
控制 器 来 验证 ， 如 此 便 可 以 节省 时 间 。 

可 以 自行 决定 要 建立 单 向 或 双向 快捷 方式 信任 ， 例 如 图 中 的 快捷 方式 信任 是 单 向 的 ， 也 
就 是 域 hk.sayiis,ioeal 信 任 域 cn.sayms,local ， 它 让 域 cn.saymslocal 的 用 户 在 访问 域 
hk.sayiis.local 内 的 资源 时 ， 可 以 走 快捷 方式 信任 的 路 径 来 验证 用 户 的 身份 。 由 于 是 单 向 快捷 
方式 信任 ， 因 此 反 过 来 域 hk,sayiis,local 的 用 户 在 访问 域 en.sayms,local 内 的 资源 时 ， 却 无 法 走 
这 个 快捷 方式 信任 的 路 径 ， 除 非 域 cn.sayms.local 也 快捷 方式 信任 域 hk.sayiis,local。 


羽 酌 方式 信 在 
人 shareut pust 


asaymgjocal maymsjocal 


图 8&1-4 
注意 快捷 方式 信任 仅 有 部 分 可 传递 性 ， 也 就 是 只 会 向 下 延伸 ， 不 会 向 上 延伸 ， 以 图 8-1-5 
米 说 明 ， 图 中 在 D 域 建立 一 个 快捷 方式 信任 到 F 域 ， 这 个 快捷 方式 信任 会 自动 向 下 延伸 到 G 
域 ， 因 此 D 域 的 域 控制 器 在 验证 G 域 的 用 户 身份 时 ， 可 以 走 【D 域 一 F 域 一 G 域 】 的 快捷 方式 路 
径 。 然 而 D 域 的 域 控制 器 在 验证 E 域 的 用 户 身份 时 ， 仍 然 需 走 【D 域 一 A 域 一 E 域 】 的 路 径 ， 也 
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就 是 通过 父 一 子 信任 【D 域 一 A 域 工 与 树 状 一 根 目录 信任 【A 域 一 E 域 】 的 路 径 。 


N 


图 815 


4 林 信 任 

两 个 林 之 间 可 以 通过 林 信 任 来 建立 信任 关系 ， 以 便 让 不 同 林 内 的 用 户 可 以 相互 访问 对 方 
的 资源 。 可 以 自行 决定 要 建立 单 向 或 双向 的 信任 关系 ， 例 如 图 8- 人 
Sayms.local 与 say365.local 之 间 建 立 了 双向 信任 关系 ， 由 于 林 信 任 具 备 双向 可 传递 的 特性 ， 因 

会 让 两 个 林 中 的 所 有 域 之 间 都 相互 信任 ， RE 向 江 

资源 ， 不 论 此 域 是 位 于 哪 一 个 林内 。 

注意 林 信 任 仅 有 部 分 可 传递 性 ， 也 就 是 说 两 个 林 之 间 的 林 信 任 关 系 并 无 法 自动 的 延伸 到 
其 他 第 3 个 林 ， 例 如 虽然 在 林 A 与 林 B 之 间 建 立 了 林 信 和 任 ， 同 时 也 在 林 B 与 林 C 之 问 建 立 了 林 信 
任 ， 但 是 林 A 与 林 C 之 间 并 不 会 自动 建立 信任 关系 。 


林 saymslocal 林 什 fE(Grest ts el 


Ce 


太太 为 人 


图 8-146 


图 2 
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5 外 部 信任 

分 别 位 于 两 个 林内 的 域 之 间 可 以 通过 外 部 信任 来 建立 信任 关系 。 可 以 自行 决定 要 建立 单 
向 或 双向 信任 关系 ， 例 如 图 8-1-7 中 两 个 林 sayms.local 与 sayexg.local 之 间 原 本 并 没有 信任 关 
系 ， 但 是 在 域 sayiis.local 与 域 sayexg.local 之 间 建 立 了 双向 的 外 部 信任 关系 。 由 于 外 部 信任 并 不 
具备 传递 性 ， 因 此 图 中 除了 sayiis.local 与 sayexg.local 之 间 外 ， 其 他 例如 sayiis.local 与 
uk.sayexg.local 、hk.sayiis.local 与 uk.sayexg.local 等 之 间 并 不 具备 信任 关系 。 


林 sayms.local 林 sayexglocal 


外 部 信任 


NS 


ksayiisloeal 


全 


Is 
人 到 


图 &1-7 


6. 领域 信任 


AD DS 域 可 以 与 非 Windows 系 统 〔 例 如 UNIX) 的 Kerberos 领 域 之 间 建 立信 任 关 系 ， 这 个 
信任 关系 称 为 领域 信任 。 这 种 跨 平台 的 信任 关系 ， 让 AD DS 域 能 够 与 其 他 Kerberos 系 统 相互 
通信 。 领 域 信 任 可 以 是 单 向 或 双向 ， 而 且 可 以 从 可 传递 性 切换 到 不 可 传递 性 ， 也 可 以 从 不 可 
传递 性 切换 到 可 传递 性 。 


8.1.4 “建立 信任 前 的 注意 事项 


前 面 6 种 信任 关系 中 ， 父 一 子 信任 是 在 新 建 子 域 时 自动 建立 的 ， 而 树 状 一 根 目录 信任 则 

是 在 新 建 域 树 时 自动 建立 的 ， 其 他 的 4 种 信任 关系 必须 手动 建立 。 请 先 了 解 以 下 事项 ， 以 减少 
在 建立 信任 关系 时 的 困扰 ; 

浊 建立 信任 就 是 在 建立 两 个 不 同 域 之 间 的 沟通 桥梁 ， 从 域 管理 的 角度 来 看 ， 两 个 域 各 

需要 有 一 个 拥有 适当 权限 的 用 户 ， 在 各 自 域 中 分 别 做 一 些 设置 ， 以 完成 双方 域 之 间 信 

任 关 系 的 建立 工作 。 其 中 信任 域 一 方 的 系统 管理 员 ， 需 要 为 此 信任 关系 建立 一 个 传 出 

信任 (outgoing tmust) ; 而 受信 任 域 一 方 的 系统 管理 员 ， 则 需要 为 此 信任 关系 建立 一 
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个 传 入 信任 (incoming trust) 。 传 出 信任 与 传 入 信任 可 视 为 此 信任 关系 的 两 个 端点 。 

这 以 建立 图 8-1-8 中 人 A 域 信任 B 域 的 单 向 信任 进行 说 明 ， 我 们 需 在 A 域 建立 一 个 传 出 信 
任 ， 相 对 也 需要 在 B 域 建立 一 个 传 入 信任 。 也 就 是 说 在 A 域 建立 一 个 传 出 到 B 域 的 信 
任 ， 同 时 相对 也 需要 在 B 域 建立 一 个 让 人 A 域 情 入 的 信任 。 


传 任 起 受信 任 城 
单 向 信任 
A 民 8B 域 
准 册 锋 帮 三 二 = 三友 二 -二 。” 传 入 信任 


图 8-1-8 
在 利用 新 建 信任 向 导 来 建立 图 中 的 单 向 信任 关系 时 ， 可 以 选择 先 单 独 建立 A 域 的 伟 
出 信任 ， 然 后 再 另外 单独 建立 B 域 的 传 入 信任 ; 或 是 选择 同时 建立 A 域 的 传 出 信任 
与 B 域 的 传 入 信任 ; 
国 如 果 是 分 别 单独 建立 这 两 个 信任 的 话 ， 则 需要 在 A 域 的 传 出 信任 与 B 域 的 传 入 信 ， 
任 设置 相同 的 信任 密码 。 
国 如 果 是 同时 建立 这 两 个 信任 的 话 ， 则 在 信任 过 程 中 并 不 需要 设置 信任 密码 ， 但 需 
要 在 这 两 个 域 都 拥有 适当 权限 ， 默 认 是 Domain Admins 或 Enterprise Adniins 组 的 成 
员 拥 有 此 权限 。 
当 以 建立 图 8-1-9 的 A 域 信任 B 域 ， 同 时 B 域 也 信任 A 域 的 双向 信任 来 说 ;我们 必须 在 A 域 
同时 建立 传 出 信任 与 传 入 信任 ， 其 中 的 传 出 信任 是 用 来 信任 B 域 ， 而 传 入 信任 是 要 
让 B 域 可 以 信任 A 域 。 相 对 也 必须 在 B 域 建立 传 入 信任 与 待 出 信任 - 


双 闪 偿 任 


人 
二 域 B 域 
此 于 二 二 传 入 人 三 
导入 燥 论 .天 == 一 = 二 = 一 传 出 信任 


疼 &19 


在 利用 新 建 信任 向 导 来 建立 图 中 的 双向 信任 关系 时 ， 可 以 单独 先 建 立 A 域 的 传 出 信 
任 与 待 入 信任 ， 然 后 再 另外 单独 建立 B 域 的 传 入 信任 与 传 出 信任 ; 或 选择 同时 建立 
A 域 与 B 域 的 传 入 信任 、 传 出 信任 : 
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国 如 果 是 分 别 单独 建立 A 域 与 B 域 的 传 出 信任 、 传 入 信任 的 话 ， 则 需要 在 A 域 与 B 域 
设置 相同 的 信任 密码 - 

图 如 果 是 同时 建立 A 域 与 B 域 的 传 出 信任 、 传 入 信任 的 话 ， 则 在 信任 过 程 中 并 不 需 
要 设置 信任 密码 ， 但 需要 在 这 两 个 域 都 拥有 适当 的 权限 ， 默 认 是 Domain Admins 
或 Enterprise Admins 组 的 成 员 拥有 此 权限 。 

两 个 域 之 间 在 建立 信任 关系 时 ， 相 互 之 间 可 以 利用 DNS 名 称 或 NetBIOS 名 称 来 指定 对 

方 的 域名 : 

时 如 果 是 利用 DNS 域名 ， 则 相互 之 间 需 通过 DNS 服务 器 来 查询 对 方 的 域 控制 器 。 

图 如 果 是 利用 NetBIOS 域 名 ， 则 可 以 通过 广播 或 WINS 服 务 器 来 查询 但 是 广播 消息 

无 法 跨越 到 另外 一 个 网 络 ， 因 此 如 果 通 过 广播 来 查询 的 话 ， 则 两 个 域 的 域 控制 器 

必须 位 于 同一 个 网 络 内 。 如 果 是 通过 WINS 服 务 器 ( 可 泰 考 Windows Server 2016 
网 络 与 网 站 建 时 实务 这 本 书 的 电子 书 ) 来 查询 的 话 ， 则 两 个 域 的 域 控制 器 可 以 不 
需要 在 同一 个 网 络 内 。 

浊 除了 利用 新 建 信 任 向 导 来 建立 两 个 域 或 林 之 间 的 信任 外 ， 也 可 以 利用 netdom trust 命 
令 来 新 建 、 删 除 或 管理 信任 关系 。 


忆 


8.2 ”建立 快捷 方式 信任 


以 下 利用 建立 图 8-2-1 中 域 hk.sayiis.local 信 任 域 cn.sayms,local 的 单 向 快捷 方式 信任 来 说 
明 。 请 务必 先 参考 8-! 节 中 建立 信任 前 的 注意 事项 的 说 明 后 ， 再 继续 以 下 的 步骤 。 


人 55ayiisJOCal 


而 “人 城 控制 内 用 
DNS 服务 器 
elsaymslocal 
谍 :192.168.8.1124 区 
PNS'1192.168.81 广 


ea.sayms local 
:192.168 8.2024 
DNS;192.168.8.1 
{ 城 拉 制 善 && 
DNS 服务 器 ) 


icev sayms Joe 直 
dc6 抽 ksayiislocal 
人 P:192.168.8.12/24 


( 域 控 制 器 & 
DNS 服务 踏 ) 


DNS; 168.8.1 
( 域 控制 器 妈 
DNS 最 务 器 ) 


划 疝 抉 捷 方 式 信 征 
aoaanama 


cn,Sqyms.locaj 


sh.sayms.local hk.sayiis.local 


图 82-1 
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我 们 将 图 重新 简化 为 图 8-2-2， 图 中 必须 在 域 hk,sayiis.local 建 立 一 个 传 出 信任 ， 相 对 也 必 
须 在 域 cn.sayms.local 建 立 一 个 传 入 信任 。 我 们 以 同时 建立 域 hk.sayiis.local 的 传 出 信任 与 域 
cn.sayms.local 的 传 入 信任 为 例 来 说 明 。 


倩 任 城 


ed4enstymstecal 6.hkesayiis local 
域 榨 出 顺 ) { 域 控制 多》 


间 向 快捷 方式 信任 
这 


Huk-sayiis local 


传 出 俏 任 


图 82-2 
STEP 税 以 下 假设 是 要 在 左边 受信 任 域 cnsaymslocal 的 域 控制 器 dc4.cn.sayms,local 上 ， 利 用 Domain 
Admins ( cn.saymslocal ) 或 Enterprise Admins ( sayms.local ) 组 内 的 用 户 登 录 与 建立 信任 。 
STEP 回 。 单 击 左下 角 开 始 图 标 田 ?3Windows 管理 工具 3Active Direetory 域 和 信任 关系 。 
STEP 轿 。 如 图 8-2-3 所 示 【 单 击 域 cn.sayms.local 单 击 上 方 属性 图 标 ] 。 


油 Aive pireaory 知人 EX 系 一 三， 对 
文 #D 二 EAI RH 
| 和 趾 | 者 | 四 十 


这 本 浴 有 任何 项 目 . | aamaeal = 


看 samslocal 


着 Actve Diredhory 城 和 个 任 关系 [dc4cn]| 包 称 
8 | 


》 稚 :hsaymslocal 下 
) 三 :ayislocal | 
图 823 
STEP 四 。 点 选 图 8-2-4 中 的 信任 选项 卡 ， 单 击 新 建 信 倒 按钮 。 
eeeam 
民 人 | 
IE 一 
ae | 
| RE 
| [| 卫 [人 ] Eee | 
Pa 人 
| 
[ECG 
图 82-4 
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FED 


中 的 上 半 段 可 看 出 域 cn.sayms.local 已 经 信任 其 父 域 sayms.local; 同时 从 下 半 段 可 看 
出 ， 域 cn.sayms.local 也 已 经 被 其 父 域 sayms.local 所 信任 。 也 就 是 说 ， 域 cn.sayms.local 与 
其 父 域 sayms.local 之 间 已 经 自动 有 双向 信任 关系 ， 它 就 是 父 - 子 信任 。 


由 


STEP 回 
STEP 四 


STEP 


STEP 回 


出 现 欢迎 使 用 新 建 信任 向 导 界面 时 单 击 斌 生涯 护 钮 。 
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在 图 8-2-5 中 输入 对 方 域 的 DNS 域名 hk.sayiis.local ( 或 NetBIOS 域 名 HK ) 。 完 成 后 单 击 


到 sa. 
全 新 建 信任 向 导 


你 可 以 用 NetB1Os 或 DNS 名 六 创建 信 任 关 至 . 


鱼 入 这 个 信任 的 地 、 林 或 入 过 的 名 称 。 如 果 女 入 补 的 到 入 , 你 雪夫 入 一 个 DNS 名 称 .- 


地 9 NetBiOs 名 称 : supplier01-int 


名 和 Ah 


[ea 


图 82-5 


在 图 8-2-6 中 选择 单 向 ， 内 传 ， 表 示 我 们 要 建立 前 面 图 8-2-2 的 单 向 


域 cn.sayms.local 的 传 入 信任 。 完成 后 单 击 号 和 提 层 钮 。 


快捷 方式 信任 中 左 例 


口音 坷 :外 人 (O) 
报 定 城 、 领 或 林 的 用 户 可 以 在 这 个 城中 得 到 身 全 验 让 


几 8246 


在 图 8-2-7 中 选择 此 域 和 指定 的 域 ， 也 就 是 除了 要 建立 图 8-2-2 中 左 侧 域 cn.sayms.local 的 
传 入 信任 之 外 ， 同 时 也 要 建立 右 侧 域 hk.sayiis.local 的 传 出 信任 。 完 成 后 单 击 语 生 唱 俯 


钮 。 
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如 果 选 择 只 是 这 个 域 的 话 ， 则 必须 事后 另外 再 针对 域 hk.sayiis.local 建 立 一 个 传 出 到 域 
cn.sayms.local 的 传 出 信任 。 


STEP 回 ”在 图 8-2-8 中 输入 对 方 域 ( hk.sayiislocal ) 的 Domain Admins 组 内 的 用 户 名 称 与 密码 
( 图 中 使 用 hk\Administrator ) ， 或 sayms.local 内 Enterprise Admins 组 内 的 用 户 名 称 与 密 
码 。 完 成 后 单 击 缚 和 浊 以 钮 


新 建 信任 应 导 二 


用 户 各 和 容 友 
要 他 建 这 个 信任 关系 ,你 必须 有 这 个 城 的 过 理 积 限 _ 


用 产 sU: 盘 headministator 


ED: [站 


图 82-8 


| 若 要 输入 Enterprise Admins 组 内 的 用 户 账户 的 话 ， 请 在 用 户 名 称 之 前 输入 林 根 域 的 域 
名 ， 例 如 saymsNadministrator 或 sayms.local\vadministrator ， 其 中 的 sayms 为 林 根 域 的 


STEPE 加 在 图 8-2-9 中 单 击 请 和 天 扩 钮 。 


国 2 


STEPE 在 
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图 82-9 


8-2-10 中 单 击 试 生 天 扩 钮 。 


新 建 信任 向 号 


可 传递 的 : 是 


信任 方 : 为 这 个 城 和 应 定 域 创建 了 信任 . 


二 


图 82-10 


STEP 


可 以 在 


8-2-11 中 选择 是 ， 确 认 传 入 信任 ， 以 便 确 认 cn.sayms.local 的 传 入 信任 与 


hk.sayiis.local 的 传 出 信任 两 者 是 否 都 已 经 建立 成 功 ， 也 就 是 要 确认 此 单 向 快捷 方式 信 
任 是 否 已 经 建立 成 功 。 


欠 


图 82-11 
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如 果 是 分 别 单独 建立 域 cn.sayms.local 的 传 入 信任 与 域 hk.sayiis.local 的 传 出 信任 的 话 ， 请 
确认 这 两 个 信任 关系 都 已 建立 完成 后 ， 再 选择 是 ， 确 认 传 入 信任 。 


STEP 如 。 出现 正在 完成 新 建 信任 向 导 界 面 时 单 击 蕊 天 撤 钮 。 


图 8-2-12 为 完成 建立 单 向 快捷 方式 信任 后 的 界面 ， 表 示 在 域 cn.sayms.local 中 有 一 个 从 域 
hk.sayiis,local 来 的 传 入 信任 ， 也 就 是 说 域 cn.sayms.local 是 被 域 hk.sayiis.local 信 任 的 受信 任 域 。 


| onsaymcloeal 届 性 


xx 
晶 贞 信任 。 守 理 者 
帮手 
| 二 信和 Et8。 司 传 | 
Saymslocal 妥 旺 | 
| | 证 
| 
| 
rr 
一 
ED 


图 8&2-12 


同时 在 域 hk.sayiislocal 中 也 会 有 一 个 连 到 域 cn.sayms.local 的 传 出 信任 ， 也 就 是 说 域 
hk.sayiis.local 是 域 cn.sayms.local 的 信任 域 ， 可 以 通过 【如 图 8-2-13 所 示 单 击 sayiis.local 之 下 的 
域 hk.sayiis.local 仿 单 击 上 方 属 性 图 标 忆 单 击 信任 选项 卡 】 的 方法 来 查看 此 设置 。 


hksayiislocai 尾 性 页 民 汪 
0 
信任 此 霹 的 过 ( 内 向 信任 Oh 
[本 sc as | [ES 
| EL 
网 82-13 


第 8 章 管理 域 与 林 信任 “| 时 时 


8.3 ”建立 林 信任 


以 下 利用 建立 图 8-3-1 中 林 sayms.local 与 林 say365.iocal 之 间 的 双向 林 信 任 进行 说 明 。 


林 sayms.local 双向 ? 林 信 任 ” 林 say365.local 


弟 - 吾 城 控 制 器 本 Hay365.local 
DNS 服 荔 器 25aymJocal 1P4192.168821P4 
sayms ecal 1P:192.168 胡 212 本 DNS:192.168.8.21 
1P192.1683.JR4 DNS:192.168.8.1 《天 控 制 器 和 
DNS:192.168.8.1 ( 碱 掉 制 器 和 DNS 服务 器 ) 
DNS 服务 器 ) 


say365.ocal 


Hahsayms local 
192.168810024 
DNS1192.1688. 


DNS 服务 器 ) 


cn.saymsilocal 


ussay365ocal 


sh saymslocal 


图 83-1 
我 们 将 图 重新 简化 为 图 8-3-2， 图 中 需要 在 林 根 域 sayms.local 建 立 传 出 信任 与 传 入 信任 ， 


相对 的 也 需要 在 林 根 域 say365.local 建 立 传 入 信任 与 传 出 信任 。 


林 sayms.local 林 say365.Iocal 


dlsaymsJocal 
( 域 控制 器 及 


双向 林 信 任 - 


Saymas.local 


传 出 信任 ----------- 


图 832 


8.3.1 建立 林 信 任 前 的 注意 事项 
在 建立 林 信任 之 前 ， 请 先 注意 以 下 事项 : 


阅 请 务必 先 了 解 章节 8-1 节 建立 信任 前 的 注意 事项 的 内 容 。 
站 两 个 林 之 间 需 要 通过 DNS 服务 器 来 找到 对 方 林 根 域 的 域 控 制 器 。 以 图 8-3-2 来 说 ， 必 
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须 确 定 在 域 sayms.local 中 可 以 通过 DNS 服务 器 找到 域 say365.local 的 域 控制 器 ， 同 时 
在 域 say365.local 中 也 可 以 通过 DNS 服务 器 找到 域 sayms.local 的 域 控制 器 ; 

罩 如 果 两 个 林 根 域 使 用 同一 台 DNS 服 务 器 ， 也 就 是 此 DNS 服务 器 内 同时 有 
sayms.local 与 say365.local 区 域 ， 则 双方 都 可 以 通过 此 DNS 服务 器 来 找到 对 方 的 域 
控制 器 。 

国 如 果 两 个 林 根 域 不 是 使 用 同一 台 DNS 服 务 器 ， 则 可 以 通过 条 件 转发 器 ( conditional 
forwarder ) 来 达到 目的 ， 例 如 在 sayms.local 的 DNS 服务 器 中 指定 将 say365.local 的 
查询 请 求 ， 转 发 给 say365.local 的 DNS 服务 器 ( 参见 图 8-3-3。 图 中 假设 域 say365,local 
的 DNS 服务 器 的 呈 地 址 为 192.168.8.21 ) ， 同 时 也 请 在 say365.ocal 的 DNS 服务 器 中 指定 
将 sayms.local 的 查询 请 求 ， 转 发 给 sayms ,local 的 DNS 服务 器 ( 192.168.8.1 ) 


bs E = 9 x| 
| 有 交 村 用。 粮 fEA) 得 要 (V|。 相 了 (H) 
| 和 只 | 灵 四 | 还 本 | 加 四 | 站 抽 己 全 人 村 发 括 
os 


以 下 练习 采用 这 种 方式 ， 因 此 请 先 完 成 条 件 转发 器 的 配置 ， 再 分 别 到 sayms.local 与 
say365.local 的 域 控 制 器 上 ， 利 用 ping 对 方 区 域内 主机 名 的 方式 来 测试 条 件 转发 器 的 功能 
是 否 正 常 。 


翌 如 果 两 个 林 根 域 不 是 使 用 同一 台 DNS 服 务 器 的 话 ， 则 还 可 以 通过 辅助 区 域 来 实现 
DNS 查找 ， 例 如 在 sayms.local 的 DNS 服务 器 建立 一 个 名 称 为 say365,local 的 辅 动 区 
域 ， 其 数据 是 从 say365.local 的 DNS 服务 器 通过 区 域 传 送 复制 过 来 ; 同时 也 在 
say365.local 的 DNS 服务 器 建立 一 个 名 称 为 sayms,local 的 辅助 区 域 ， 其 数据 是 从 
sayms local 的 DNS 服务 器 通过 区 域 传送 复制 过 来 。 


8.3.2 ”开始 建立 林 信 任 


我 们 将 在 林 sayms.local 与 say365.local 之 间 建 立 一 个 双向 的 林 信 任 ， 也 就 是 说 我 们 将 为 林 
sayms.local 建 立 传 出 信任 与 传 入 信任 ， 同 时 也 为 林 say365.local 建 立 相应 的 传 入 信任 与 传 出 信 
任 。 请 先 确认 前 述 DNS 服 务 器 的 设置 已 经 完成 。 
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STEP 
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Domain Admins 或 Enterprise Admins 组 内 的 用 户 登 录 与 建立 信任 。 


STEP 单 击 左下 角 开 始 图 标 田 2Windows 管理 工具 23Active Direetory 域 和 信任 关系 。 
STEP 回 。 如 图 8-3-4 所 示 【 单 击 域 sayms.localQ 单 击 上 方 属性 图 标 】。 


漳 Acive Directory 域 和 信任 关系 E 
文人 站 ， 生 fEA) 者 看 MI 再 取 (H) 
如 中 [二 面 ( 目 为 | 目 而 


画 Acive Dredory 志和 信人 关系 [dl 名 条 E] 3 
> 二 加 shsaymslocal 。 domainpNS 
而 :ayislocal 全 misaymsloeal domanDNS 更 多 担 作 
1 > 
图 834 


STEP 四 。 点 选 图 8-3-5 中 的 信任 选项 卡 ， 单 击 肠 建 往 侠 护 钮 


图 83-5 


以 下 假设 是 要 在 图 8-3-2 中 左 侧 林 根 域 sayms.local 的 域 控制 器 上 dc1.sayms.local， 利 用 


从 图 8-3-5 的 中 上 半 段 可 看 出 ， 域 saymslocal 已 经 信任 其 子 域 cnsayms,local 与 


sh.sayms.local ， 同 时 也 信任 了 另 一 个 域 树 的 根 域 sayiis.local， 从 图 中 的 下 半 段 可 看 出 ， 


域 sayms.local 已 经 被 其 子 域 cn.sayms ,local 与 sh.sayms.local 所 信任 ， 同 时 也 被 另外 一 个 域 
树 的 根 域 sayiis.local 所 信任 。 也 就 是 说 ， 域 sayms.local 与 其 子 域 之 间 已 经 自动 有 双向 父 - 
子 信 任 关 系 。 还 有 域 sayms.locaj 与 域 树 sayiis.local 之 间 也 已 经 自动 有 双向 树 状 - 根 目录 信 


任 关系 。 
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STEP 回 。 在 图 8.3-6 中 单 击 红 汪 于 钮 。 图 中 支持 的 信任 关系 包含 了 我 们 需要 的 林 信 任 ( 图 中 的 
另 一 个 林 ) 。 


欢迎 使 用 新 建 信任 向 导 


此 商号 夺取 你 在 这 个 二 和 下 任 项 创建 信 任 关系 


图 8346 
STEP 回 。” 在 如 图 8-3-7 所 示 中 输入 对 方 域 的 DNS 域名 say365.local ( 或 NetBIOS 域 名 SAY365 ) 后 单 
zi 拓 xa。 
新 建 


信任 向 导 X 


信任 名 称 
你 可 以 用 NetBlOS 或 DNS 名 来 创建 信任 关系 . 


鱼 入 这 个 信任 的 域 、 林 或 视 吉 名称 . 如 果 刍 入 林 的 名 称 , 你 必 朋 栓 入 一 个 DNS 名称. 


去 NetBlOS 名 称 :supplierO1-int 


示例 DNS 名 称 ; supplier01-internaLmicrosoftcom 
名 称 (A)- 
5ay365Jocal 
图 83-7 
STEP 园 。 在 图 8-3-8 中 选择 林 信任 后 单 击 请 时 玉 钮 
新 建 信任 向 号 共 
过 择 要 创建 的 信任 型 。 
口外 部 信任 ( 
外 部 信任 是 本 外 部 的 卫 个 域 之 奖 的 不 可 传递 的 信任 ， 不 可 传递 的 信任 受 关系 中 的 域 的 约 
束 
图 林 售 EEP 
林 信任 显现 个 条 之 癌 的 可 传道 信任 ; 允许 一 个 林 中 的 任何 域 中 的 用 户 在 另 一 个 林 让 的 任 
何 城中 得 到 身份 验证 
图 838 


闸 232 
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FEED 


如 果 图 中 选择 外 部 信任 的 话 ， 也 可 以 让 sayms.local 与 say365.local 之 间 建 立信 任 关系 ， 不 
过 它 不 有 具备 传递 性 ， 然 而 本 练习 的 林 信 和 任 有 传递 性 。 


STEP 回 在 图 8-3-9 中 选择 双向 后 单 击 碾 和 间接 钮 ， 表 示 我 们 要 同时 建立 图 8-3-2 中 左 方 域 
sayms local 的 传 出 信任 与 传 入 信任 。 


新 建 信任 训导 X 
“ 息 
人 可 名 建 向 或 双 向 信任 , 
渤 芋 这 个 信任 的 方向 ， 
图 观 m[D 
这 个 大 中 的 用 广 可 以 在 撕 定 莽 、 包 和 或 林 中 所 到 身份 办 证 ; 反之 办 然 . 
口 单 科 内 伟 E) 
这 个 关中 的 用 广 可 以 在 搞 十 碟 、 令 二 中 得 到 身份 验证 - 
口音 oa: htO) 
和 的 用 户 可 以 在 这 个 城中 网 到 身份 十 . 
图 8-3.9 


STEP 回 ”在 图 8-3-10 中 选择 此 域 和 指定 的 域 ， 也 就 是 除了 要 建立 图 8-3-2 左 侧 域 sayms.local 的 传 
出 信任 与 传 入 信任 之 外 ， 同 时 也 要 建立 右 侧 域 say365.local 的 传 入 信任 与 传 出 信任 。 


如 果 选 择 只 是 这 个 域 的 话 ， 则 必 有 
的 传 入 信任 与 传 出 信任 。 


帮 后 再 针对 域 say365.local 来 建立 与 域 sayms.local 之 间 


STEPEE 在 图 8-3-11 中 输入 对 方 林 根 域 ( say365.local ) 内 Domain Admins 或 Enterprise Admins 组 
的 用 户 名 与 密码 后 单 击 请 生 旨 以 钮 
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an 多 


图 83-1T 
STEPE 8-3-12 选 择 如 何 验证 另 一 个 林 ( say365.local ) 的 用 户 身份 , 
妆 全 林 性 身份 验证 : 表示 要 验证 另 一 个 林内 ( say365.local ) 所 有 用 户 的 身份 。 用户 只 
要 经 过 验证 成 功 ， 就 可 以 在 本 林内 (sayms.local ) 访问 他 们 拥有 权限 的 资源 。 
匀 选择 性 身份 验证 : 此 时 另 一 个 林内 只 有 被 选择 的 用 户 【〈 或 组 ) 才 会 被 验证 身份 ， 其 
他 用 户 会 被 拒绝 。 被 选择 的 用 户 只 要 经 过 验证 成 功 ， 就 可 以 在 本 林内 访问 他 们 拥有 
权限 的 资源 。 选择 用 户 的 方法 后 述 。 


图 83-12 


STEPE 8-3-13 是 用 来 设置 当 本 林 ( sayms.local ) 中 的 用 户 要 访问 另外 一 个 林 ( say365.local ) 
内 的 资源 时 ， 如 何 来 验证 用 户 身份 。 


[ 区 
伟 岂 人 人 本 信 罗 各 汪 卫 二 林 和 办 
村 的 用 户 浊 生息 人 办 下 
tan 用户 起 后 检 开本 
ee 


STEP E 在 图 8.3-14 中 单 击 绢 天 拉锯 
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STEP E 四 在 图 8-3-15 中 单 击 庆生 旨 以 钮 。 


图 83-14 


图 83-15 


路 由 名 称 后 邹 ( routing name suffixes ) 是 什么 呢 ? 图 中 显示 本 林 会 负责 验证 的 后 为 


saymas.local 与 sayiis.local ， 


因此 当 本 林 中 的 用 户 利 用 UPN 名 称 (例如 


george(@sayms.local， 其 后 缀 为 sayms.local ) 在 对 方 林 中 登录 或 访问 资源 时 ， 对 方 就 会 
将 验证 用 户 身份 的 工作 转 到 本 林 来 执行 ， 也 就 是 根据 后 邹 来 将 验证 用 户 身份 转 到 ( 路 


由 到 ) 本 林 。 


图 8-3-15 表 示 本 林 支 持 #sayiis.local 与 *.saymslocal 后 缀 ， 也 就 是 sayms.local 、 


sh.sayms.local、cn.sayms.local、sayiis.local、hk.sayiis.local 等 都 是 本 林 所 支持 的 后 级 ， 
用 户 的 UPN 后 缀 只 要 是 上 述 之 一 ， 则 验证 工作 就 会 转 给 本 林 来 执行 。 如 果 不 想 让 对 方 
林 将 特定 后 缀 的 验证 转 到 本 林 的 话 ， 可 在 图 中 取消 义 选 该 后 缀 。 


STEP 6 加 。 在 图 8-3-16 中 单 击 请 生计 钮 。 
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新建 信任 内 叶 


改动 机 (5 


全 信任 关系 功 ， 和 
抽 的 过 say365Jocal 


5 

到 靖 : 本 地 域 中 的 用 广 可 以 在 措 证 域 中 进行 身份 脸 证 , 插 定 知 中 的 用 广 也 可 以 在 本 地 过 
中 进行 身 从 验证 - 

信任 尖 到 林 信 任 | 


导出 信 任 且 人 办 证 级 吕 : 下 本 地 和 措 定 术 进 行 全 条 性 身份 认证， 


图 83-16 


STEPEB 可 以 在 


8-3-17 中 选择 是 ， 确 认 传 出 信任 ， 以 便 确 认 在 图 8-3-2 中 sayms.local 的 传 出 信 
任 与 say365.local 的 传 入 信任 这 一 组 单 向 的 信任 是 否 建立 成 功 。 


如 


你 应 该 在 信任 的 另 一 方 核 创建 后 再 确认 这 个 信任 . 她 


如 果 是 分 别 单独 建立 域 sayms.local 的 传 出 信任 与 域 say365.local 的 传 入 信任 的 话 ， 请 确认 
| 这 两 个 信任 关系 都 已 经 建立 完成 后 ， 再 选择 是 ， 确 认 传 出 信任 。 


STEP 和 加 。 可 以 在 图 8-3-18 中 选择 是 ， 确 认 传 入 信任 ， 以 便 确 认 在 图 8-3-2 中 sayms.local 的 传 入 信 


任 与 say365.local 的 传 出 信任 这 一 组 单 向 的 信任 是 否 建立 成 功 。 


图 83-18 


转 2 


第 8 章 管理 域 与 林 信任 “| 时 


STEP 加 。 在 图 8-3-19 中 单 击 吉 届 近 钮 。 


新 音信 入 导 


正在 完成 新 建 信任 向 导 


图 8-3-20 为 完成 建立 双向 林 信 任 后 的 界面 ， 图 上 方 表示 在 域 sayms.locald 
say365.local 的 传 间 


中 有 一 个 传 出 到 域 
信任 ， 也 就 是 说 域 sayms.local 信 任 域 say365.local ， 图 下 方 表 示 在 域 


sayms.local 中 有 一 个 从 域 say365.local 来 的 传 入 信任 ， 也 就 是 说 域 sayms ,local 被 域 say365.local 所 
信任 。 


了 


记名 信和 fse 弄 可 村 弟 Eee | 
cmsaymsJocal 孚 星 
ER 


图 83-220 


也 可 以 到 林 say365.local 的 域 控制 器 上 【 单 击 左下 角 开 始 图 标 田 Q3Windows 管 理工 具 
23Aetive Directory 域 和 信任 关系 3 如 图 8-3-21 所 示 单 击 say365.local 仿 单 击 上 方 的 属性 图 标 信 
任 选 项 卡 】 来 查看 这 个 双向 信任 。 图 上 方 表 示 在 域 say365.local 中 有 一 个 传 出 到 域 sayms.local 
的 传 出 信任 ， 也 就 是 说 域 say365 ,local 信任 域 sayms.local， 图 下 方 表示 在 域 say365.local 中 有 一 
个 从 域 sayms.local 来 的 传 入 信任 ， 也 就 是 说 域 say365.local 被 域 sayms.local 所 信任 。 
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ET 7 区 
起 Active Directory 乱 了 全 位 关系 | 
tt 尖 IN 要 大 MI 现 则 天 灿 。 全 仁 下 理 
和 中 | 十 隐 鼎力 | 加 站 有 人 EommEM 
了 信任 % 古 可 传 间 3 
和 人 二 
酌 中 
全 Et 二 内 代 人 MO 
六 | 诚 SG 信 ES 可 心 浊 Sei 凡 
人 
图 8321 


8.3.3 ”选择 性 身份 验证 设置 


如 果 在 图 8-3-12 是 选择 选择 性 身份 验证 的 话 ， 则 需要 在 本 林内 的 计算 机 上 ， 将 允许 身份 
验证 (Allowed to Authenticate) 权限 授予 另外 一 个 林内 的 用 户 《〈 或 组 ) ， 只 有 拥有 允许 身份 


验证 权限 的 用 户 来 连接 此 计算 机 时 才 会 被 验证 身份 ， 而 在 名 


过 验证 成 功 后 ， 该 用 户 便 有 权 来 


访问 此 计算 机 内 的 资源 。 以 下 假设 信任 林 〈trusting forest) 为 sayms.local ， 而 受信 任 林 为 
Say365.local。 


STEP 回 


STEP 四 


园 2 


请 到 信任 林 ( sayms.local ) 内 的 域 控制 器 dcl.saymslocal 上 【 单 击 左下 角 开 始 图 标 


困 Q2Windows 管理 工具 2Acetive Direetory 管 理 中 心 2 如 图 


算 机 账户 ( 假设 是 Win10PC1 ) ] 。 


8-3-22 所 示 双 击 要 设置 的 计 


相 Adive pieaoy Eee 


攻 Active Director.， 《“ computers () 


图 83-222 


如 图 8-3-23 所 示 单 击 安全 选项 卡 下 的 涨 击 按钮 。 
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Winl0PC1 


计 夏 HLC) 
管理 者 (B) 
用 中 
旬 中 


熙 =] 


aa 全 


二 世 硬 本 


图 83-23 
在 图 8-3-24 中 单 击 酸 一 坊 钮 ， 选 择 对 方 林 say365.local 后 单 击 竹 区 按钮 


过 用户， 计算 机 服务 帐户 或 和 


STEP 


图 83-24 


STEP 四 。 在 图 8-3-25 中 的 查找 位 置 已 被 改 为 say365.local ， 接 着 请 通过 单 击 省 锁 | 按 钮 来 选择 
say365.ocal 内 的 用 户 或 组 ， 图 中 是 已 经 完成 选择 后 的 界面 ， 而 所 选 的 用 户 为 Roberts 


单 击 区 划 按 钮 。 


愉 
迁 择 此 对 象 关 型 (S) 
re | exeol- | 
9 
RE 本 二 
纵 入 对 铺 名 称 来 过 择 (示人 ME): 


图 83-25 
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STEP 回 。 如 图 8-3-26 所 示 在 允许 身份 验证 右 侧 勾 选 允 许 后 单 击 葡 芒 钮 。 


口 “区 


WiniOPC1 LE 
计 是 HHC 所 


| 阴 kecoumroperarore EAYwsweeowt opemaan 
| 刘 prnt pperators GayMSWPrin gperaon | 
本 | 让 pewirdovr zoocomputble aeces hsyoewod 


8.4 ”建立 外 部 信任 


以 下 利用 建立 图 8-4-1 中 林 sayms.local 与 林 sayexg.local 之 间 的 双向 外 部 信任 来 说 明 。 


林 sayms.local 双向 外 部 信任 林 sayexg.local 
人 


第 扣 域 撑 出 如 用 kg.sayexg local 


DNS 服务 器 2.saymsloc 本 1P:192.168.8.22/24 
dclsaymslacal DNS:192.168.8.22 
1P:192.168.8.1124 { 域 控制 器 & 
DNS:192.168.8.41 广 DNS 服务 器 ) 


3shsaymns .local 
1P:192.168.8.10A4 


DNS 
( 城 控 制 器 及 
DNS 服务 器) 


Uk.sayexg,local 


图 84-1 


门将 图 重新 简化 为 图 8-4-2， 图 中 要 在 林 根 域 sayms.local 建 立 传 出 信任 与 传 入 信任 ， 相 
对 也 要 在 林 根 域 sayexg.local 建 立 传 入 信任 与 传 出 信任 。 


我 1 


大 2 
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林 saymsslocal 林 sayexg.local 


clsaymsdocal cg.sagexglacal 
《 域 挖 制 站 和 

DNS 服务 器 ) 

双向 外 部 信任 


saymslocal Sayexg ,local 


传 出 信任 ----------- 十。 传 入 信任 
得 大 信任， 二 二 -= 二 = 二 = 传 出 信任 


图 842 
外 部 信任 的 注意 事项 、DNS 服 务 器 设置 、 建 立 步骤 等 与 林 信任 相同 ， 此 处 不 再 袭 述 ， 不 
过 在 建立 外 部 信任 时 需要 改 为 如 图 8-4-3 所 示 选 择 外 部 信任 。 


新 建 信任 向 导 


该 虐 是 林 根 域 . 如 里 指定 的 域 合格 ,你 可 以 创建 一 个 林 信任 . 邹 


口 可 | 


人 ( 
林 信任 星 两 个 林 之 则 的 可 传递 信任 , 允许 一 个 林 中 的 任何 央 中 的 用 户 在 与 一 个 林 中 的 任 
何 域 中 得 到 身份 验证 . 


图 843 
还 有 会 在 步骤 的 最 后 另外 显示 图 8-4-4 的 界面 ， 表 示 系 统 默认 会 自动 启用 SID 筛 选 隔离 


启 
(SID Filter Quarantining ) 功能 ， 它 可 以 增加 安全 性 ， 和 避免 入 侵 者 通过 SID 历 史 (SID 
history) 取得 信任 域内 不 该 拥有 的 权限 。 


Active Directory 域 务 


要 提高 外 部 信任 的 安全 , 启用 了 安全 识别 符 (SID) 入 选 功能 。 然 而 , 如 果 用 户 已 经 被 迁移 
到 此 受信 任 的 域 并 且 保 震 了 其 SID 历史 ,你 可 以 渤 择 关闭 此 功能 . 


有 关 SID 往 选 功能 及 如 何 禁 用 的 详细 信息 ， 请 参见 堡 下 外 部 信任 的 安全 - 


口 请 不 要 再 旦 示 此 对 话 框 (D) 


图 844 


图 8-4-5 为 完成 外 部 信任 建立 后 ， 在 信任 域 sayms.local 所 看 到 的 界面 ， 而 图 8-4-6 为 在 受信 
任 域 sayexg.local 所 看 到 的 界面 。 
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5aymslocal 尾 性 和 演 
各 更 全 夺 。 全 
RN yexguocal 必 性 本 
E 信和 EX 型 司 传 递 本 
nsaymslocal 王 旺 一 
ay3651ocal 1 是 AR 
Sayiisjocal 红 是 
hsaymslocal 于 是 
信任 此 的 央 内 向 信 EMO) 
二 a5a 5 | E 
nsaymslocal 于 是 
aa65log 是 本 司 
ER 
5 时 
sh.saymslocal 也 是 
图 845 图 846 


8.5 ”管理 与 删除 信任 


8.5.1 信任 的 管理 


如 果 要 更 改 信任 设置 的 话 : 【如 图 8-5-1 所 示 选 择 要 管理 的 传 出 或 传 入 信任 2 单 击 大 和 炙 按 
钮 】， 然 后 通过 前 景 图 的 选项 卡 来 管理 信任 关系 。 


1. 验证 信任 关系 es 


如 果 对 方 域 支持 Kerberos AES 加 密 的 话 ， 2 

则 可 多 选 图 8-5-1 中 的 其 他 域 支持 Kerberos AES | EN -eew ms 
加 密 。 如 果 要 重新 确认 与 对 方 域 或 林 之 间 的 信 
任 关 是 否 仍然 有 效 的 话 ， 请 单 击 荔 测 护 钮 。 如 
果 对 方 域 或 林内 有 新 子 域 的 话 ， 此 甬 按钮 也 | | 
可 以 同时 更 新 名 称 后 级 路 由 (name prefix | am 
routing， 详 见 图 8-3-15 的 说 明 ) 的 信息 。 | 


2.， 更 改名 称 后 缀 路 由 设置 


当 用 户 的 UPN 〔 例 如 george@Qsay365.local ) 3 
后 绥 是 隶属 于 此 指定 林 时 ， 则 用 户 身 份 的 验证 图 &5 


国 2 
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工作 会 转 给 此 林 的 域 控制 器 。 图 8-5-2 中 的 名 称 后 级 路 由 选项 卡 用 来 更 改 所 选 林 的 名 称 后 缀 路 
由 状态 ， 例 如 要 停止 将 后 缀 为 say365.local 的 验证 转发 给 林 say365.local 的 话 ， 请 在 图 8-5-2 中 单 
击 该 林 后 绥 后 单 击 医 关 | 护 钮 。 

如 果 该 林内 包含 多 个 后 缀 ， 例 如 say365.local、us.say365.local， 而 只 是 要 禁用 将 其 中 部 分 
后 绥 验 证 工作 转发 给 该 林 的 话 : 【 单 击 前 面 图 8-5-2 中 的 医 翻 护 钮 2 在 图 8-5-3 中 选择 要 禁用 的 
名 称 后 绥 〈 图 中 假设 有 us.say365.local 存 在 ) 3 单 击 芯 天 按钮 】。 


5Jccd 本 


广 


| 


ER 


图 852 图 8-5-3 


另外 ， 为 了 避免 后 缀 名 称 冲 突现 象 的 发 生 ， 此 时 可 以 通过 图 8-5-3 上 方 的 性 曾 按钮 来 将 后 
绷 排 除 。 何 谓 后 级 名 称 冲 突现 象 ? 举例 来 说 ， 图 8-$-4 中 林 sayms.Iocal 与 林 say365.local 之 间 建 
立 了 双向 林 信 任 、 林 say365.local 与 林 jp.say365.local (注意 是 林 ! 不 是 子 域 ! ) 之 间 也 建立 了 
双向 林 信 任 、 林 sayms.local 与 林 jp.say365.local 之 间 建 立 了 单 向 林 信 任 。 


林 


Say365.local 


双向 0 SS” 任 


林 林 
symslocal / 一 > 人 jpsay365local 
单 向 林 信任 


图 854 


林 sayms.local 默 认 会 将 后 组 为 *say365.local 的 身份 验证 工作 转发 给 林 say365.local 来 执 
行 ， 包 含 后 旨 say365.local 与 jp.say365.local， 可 是 因为 两 个 林 之 间 的 林 信 和 任 关 系 并 无 法 自动 的 


图 车 
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扩展 到 其 他 第 3 个 林 ， 因 此 当 林 say365.local 收 到 后 缀 为 jp,say365.local 的 身份 验证 请 求 时 ， 并 


不 会 将 其 转发 给 林 jp.say365.local。 


解决 上 述 问题 的 方法 是 在 林 sayms.local 中 将 后 缀 jp.say365.Iocal 排 除 ， 也 就 是 编辑 信任 关 
系 say365.local'; 【在 图 8-5-5 中 单 击 医 别 扩 钮 2 输入 后 绥 jp.say365.local2 单 击 桥 是 按钮 】， 如 
此 林 sayms.local 就 不 会 将 后 绷 是 jp.say365.local 的 身份 验证 请 求 转发 给 林 say365.local， 而 是 直接 
转发 给 林 jp.say365.local (因为 图 8-5-4 中 林 sayms ,local 与 林 jp.say365.local 之 间 有 单 向 林 信 任 ) 。 


凶 生 soy365jocal ?7 


要 和 不 在 攒 十 林 中 的 名 你 后 有 斤 在 梨 由 之 外 ， 拘 沪 后 过 加 到 /下 列表 、 


中 去 可 和 后 全 "sopplier0i-internalmicrosoftcom 


各 称 后 县 (N 


sacsiees 


图 85-5 


3， 更 改 身份 验证 方法 


如 果 要 更 改 身份 验证 方法 的 话 ， 请 通过 图 8-5-6 的 身份 验证 选项 卡 来 设置 ， 图 上 


方法 的 说 明 请 参考 前 面 图 8-3-12 的 相关 说 明 。 


ay365local 属性 ? 
对 损 。 名 各 后 县 路 由“ 号 份 了 下 


为 say365Jocal 林 的 用 户 远近 身份 将 下 的 范围. 


8.5.2， 信 任 的 删除 
你 可 以 将 快捷 方式 信任 、 林 信任 、 外 部 信任 、 领 域 信任 等 手动 建立 的 信任 删除 ， 然 而 系 


图 2 


两 个 验证 
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统 自动 建立 的 父 一 子 信任 与 树 状 一 根 目录 信任 不 能 删除 - 
我 们 以 图 8-5-7 为 例 来 说 明 如 何 删除 信任 ， 而 且 是 要 删除 图 中 林 saymsJocal 信任 
say365Jocal 这 个 单 向 的 信任 ， 但 是 保留 林 say365Jocal 信任 saymslocal。 


林 saymslocal 林 say365Jocal 


由 Jamalee 相 l deTaamy365loeal 
《 域 控制 器 胡 
DNS 服务 器 ) 


双向 林 信任 


二 一 一 一 


saymstlocal say365.local 


和 央 一 传 入 信任 
传 入 信任 十----------- 传 出 信任 


图 857 
STEP 翻 如 图 8-5-8 所 示 【 单 击 域 sayms.local3 单 击 上 方 属性 图 标 】。 


六 Acive Directory 筷 和 信任 关系 史 口 儿 
文 必 用“ 扣 fEA。 南 看 W。 顶 岗 (H) 
名 中 | 古 而 ( 目 甩 | 目 面 


测 Actve Diredon 起 信人 EX 夭 [d|| 各 本 E2 
7 本 EAecal 大 :hsaymslocal 。 domainDNs 
本 :mislocal 硬 cnsaymslocal domainDNS 更 经 作 
ES > 
图 85-8 


STEP 回 。 在 图 85.9 中 【 单 击 信任 选项 卡 3 选 择 受 此 域 信任 的 域 ( 外 向 信任 ) 之 下 的 域 
say365jocal ] ， 也 就 是 选择 图 8.5-7 左 例 域 saymslocal 的 传 出 信任 ， 然 后 单 击 贿 辆 接 钮 


emailocal 用 首开 这 
有 规 。 值 任 。 念 理 看 
秋 此 城 本 人 的 过 (外 问 全 EM _ 
| as 人 可 相 进 | [二 
nsaymslocal 子 是 一 一 人 
[acscoi 一 | Ce 
ayexgJocal EC 
acal 苔 可 至 
| aa 于 要 
L RE 
信和 人 EMOT 
| as ma ap | 
naaymalocal 于 旦 
os 亲王 ER 
| :ayeeoiecal 9 本 。。 理 
local 和 
hsaymaslocal 于 呈 

图 859 
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STEP 贺 。 在 图 8-5-10 中 可 以 选择 : 


当 不， 只 从 本 地 域 删除 信任 : 也 就 是 只 删除 图 8-5-7 左 侧 域 sayms.local 的 传 出 信任 。 
当 是 ， 从 本 地 域 和 另 一 个 域 中 删除 信任 : 也 就 是 同时 删除 图 8-5-7 左 侧 域 sayms.local 的 
传 出 信任 与 右 侧 域 say365.local 的 传 入 信任 。 如 果 选 择 此 选项 的 话 ， 则 需要 输入 对 方 


域 say365.local 的 Domain Admins 或 林 根 域 sayms.local 内 Enterprise Admins 组 内 的 用 户 
名 与 密码 。 


Adive Direaory 名 可 务 


要 从 本 地 线 和 另 一 个 城 删 除 信任 吗 ? 要 从 号 一 个 域 删 除 信任 ， 你 必须 有 5ay365Jocal 域 
的 系统 管理 权限 - 


几 不 . 只 从 二 地 城 8 信任 (O) 
口 是 ,从 本 地 城 和 另 一 个 域 中 国有 信任 (Y) 


请 蝇 人 在 号 一 个 得 中 有 素 顷 等 理 反 限 的 杖 户 的 用 户 全 各 十 码 - 


用 户 吉 0: 于 = -= | 
攻 


图 8S-10 
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对 拥有 多 台 域 控制 器 的 AD DS 域 来 说 ， 如 何 有 效率 的 复制 AD DS 数 据 库 、 如 何 提高 AD 
DS 的 可 用 性 与 如 何 让 用 户 能 够 快速 地 登录 ， 是 系统 管理 员 必 须要 了 解 的 重要 课题 。 


站 点 与 AD DS 数 据 库 的 复制 
默认 站 点 的 管理 

利用 站 点 来 管理 AD DS 复 制 
管理 全 局 编 录 服 务 器 
解决 AD DS 复 制 冲突 的 问题 


区区 区 区 区 
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9.1 站 点 与 AD DS 数 据 库 的 复制 


站 点 〈site) 是 由 一 或 多 个 IP 子 网 (subnet) 所 组 成 ， 这 些 子 网 之 间 通 过 高 速 且 可 靠 的 连 
接 互 连 起 来 ， 也 就 是 这 些 子 网 之 间 的 连接 速度 要 够 快 且 稳 定 、 符 合 你 的 需要 ， 和 否则 就 应 该 将 
它们 分 别 规划 为 不 同 的 站 点 。 

一 般 来 说 ， 一 个 LAN《〈 局 域 网 ) 之 内 各 个 子 网 之 间 的 连接 都 符合 速度 且 高 可 靠 的 要 求 ， 
因此 可 以 将 一 个 LAN 规 划 为 一 个 站 点 ; 而 WAN (广域网 ) 内 各 个 LAN 之 间 的 连接 速度 一 般 都 
不 快 ， 因 此 WAN 之 中 的 各 个 LAN 应 分 别 规划 为 不 同 的 站 点 ， 参 见 图 9-1-1。 


图 9-L1 
AD DS 内 大 部 分 数据 是 利用 多 主机 复制 模式 〈multi-master replication model) 来 复制 。 在 
这 种 模式 之 中 ， 可 以 直接 更 新 任何 一 台 域 控制 器 内 的 AD DS 对 象 ， 之 后 这 个 更 新 对 象 会 被 自 
动 复制 到 其 他 域 控制 器 ， 例 如 当 在 任何 一 台 域 控制 器 的 AD DS 数 据 库 内 新 建 一 个 用 户 账 户 


后 ， 这 个 账户 会 自动 被 复制 到 域内 的 其 他 域 控制 器 。 
站 点 与 AD DS 数 据 库 的 复制 之 间 有 着 重要 的 关系 ， 因 为 这 些 域 控制 器 是 否 在 同一 个 站 
点 ， 会 影响 到 域 控制 器 之 间 AD DS 数 据 库 的 复制 行为 。 


9.1.1 同一 个 站 点 之 间 的 复制 
同一 个 站 点 内 的 域 控制 器 之 间 是 通过 快速 的 连接 互 连 在 一 起 的 ， 因 此 在 复制 AD DS 数 据 


转 2 
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库 时 ， 可 以 有 效 、 快 速 地 复制 ， 而 且 不 会 压缩 所 传送 的 数据 。 

同一 个 站 点 内 的 域 控制 器 之 间 的 AD DS 复 制 采用 更 改 通知 (change notification ) 的 方 
式 ， 也 就 是 当 某 台 域 控制 器 〈 以 下 将 其 称 为 源 域 控 制 器 ) 的 AD DS 数 据 库 内 有 一 笔 数 据 更 改 
时 ， 默 认 它 会 等 15 秒 后 ， 就 通知 位 于 同一 个 站 点 内 的 其 他 域 控制 器 。 收 到 通知 的 域 控制 器 如 
果 需 要 这 笔 数 据 的 话 ， 就 会 给 源 域 控制 器 发 出 更 新 信息 的 请 求 ， 这 台 源 域 控制 器 收 到 请 求 
后 ， 便 会 开始 复制 的 过 程 。 


1. 复制 伙伴 


源 域 控 制 器 并 不 是 直接 将 改动 数据 复制 给 同一 个 站 点 内 的 所 有 域 控制 器 ， 而 是 只 复制 给 

它 的 直接 复制 伙伴 〈direct replication partner) ， 然 而 哪些 域 控 制 器 是 其 直接 复制 伙伴 呢 ? 每 

人 台 域 控制 器 内 都 有 一 个 被 称 为 Knowledge Consistency Checker (KCC) 的 程序 ， 它 会 自动 建 
立 最 有 效率 的 复制 拓扑 〈replication topology) ， 也 就 是 决定 哪些 域 控制 器 是 它 的 直接 复制 伙 ， 
伴 、 而 哪些 域 控 制 器 是 它 的 转移 复制 伙伴 〈transitive replication partner) ， 换 名 话说， 复制 拓 
扑 是 复制 AD DS 数 据 库 的 逻辑 连接 路 径 ， 如 图 9-1-2 所 示 。 

以 图 中 域 控制 器 DC1 来 说 ， 域 控制 器 DC2 是 它 的 直接 复制 伙伴 ， 因 此 DCI 会 将 变动 数据 
直接 复制 给 DC2， 而 DC2 收 到 数据 后 ， 会 再 将 它 复制 给 DC2 的 直接 复制 伙伴 DC3， 依 此 类 
推 ， 

对 域 控制 器 DC1 来 说 ， 除 了 DC2 与 DC7 是 它 的 直接 复制 伙伴 外 ， 其 他 的 域 控制 器 

《DC3、DC4，DC5、DC6) 部 是 转移 复制 伙伴 ， 它 们 是 间接 获得 由 DC1 复 制 来 的 数据 。 


一 由 人 


2 如何 减 少 复 制 延迟 时 间 


为 了 减少 复制 延迟 的 时 间 【replication Jatency) ， 也 就 是 从 源 域 控制 器 内 的 AD DS 数 据 有 
变动 开始 ， 到 这 些 数据 被 复制 到 所 有 其 他 域 控制 器 之 间 的 间隔 时 间 要 尽量 缩 得， 因此 KCC 在 
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建立 复制 拓扑 时 ， 会 让 数据 从 源 域 控制 器 传送 到 目的 域 控制 器 时 ， 其 所 跳跃 的 域 控制 器 数量 
Chop count ) 不 超过 3 台 ， 以 图 9-1-2 来 说 明 ， 从 DC1 到 DC4 跳 跃 了 3 人 台 域 控制 器 〈DC2、 
DC3、DC4) ， 而 从 DC1 到 DC5 也 只 跳跃 了 3 台 域 控制 器 〈DC7、DC6、DC5) 。 换 句 话说 ， 
KCC 会 让 源 域 控制 器 与 目的 域 控制 器 之 间 的 域 控 制 器 数量 不 超过 两 台 。 
为 了 避免 源 域 控制 器 负担 过 重 ， 因 此 源 域 控 制 器 并 不 是 同时 通知 其 所 有 的 直接 复制 伙 
伴 ， 而 是 会 间隔 3 秒 ， 也 就 是 先 通知 第 1 合 直接 复制 伙伴 ， 间 隔 3 秒 后 再 通知 第 2 台 ， 依 此 
类 推 。 
当 有 新 域 控制 器 加 入 时 ，KCC 会 重新 建立 复制 拓扑 ， 而 且 仍 然 会 遵照 跨越 的 域 控 制 器 数 
量 不 超过 3 人 台 的 原则 ， 例 如 当 图 9-1-2 中 新 建 了 一 台 域 控制 器 DC8 后 ， 其 复制 拓扑 就 会 有 变 
化 ， 图 9-1-3 为 可 能 的 复制 拓扑 之 一 ， 图 中 KCC 将 域 控 制 器 DC8 与 DC4 设 置 为 直接 复制 伙伴 ， 
否则 DC8 与 DC4 之 间 ， 无 论 是 通过 【DC8--DCI 一 DC2~-DC3 一 DC4]】 或 【DC8 一 DC7 一 DC6 
一 DC5 一 DC4】 的 途径 ， 都 会 违反 跨越 的 域 控制 器 数量 不 超过 3 台 的 原则 。 


人 
二 


图 9-1-3 


3. 紧急 复制 


对 某 些 重要 的 更 新 数据 来 说 ， 系 统 并 不 会 等 15 秒 钟 才 通知 其 直接 复制 伙伴 ， 而 是 立刻 通 
知 ， 这 个 操作 被 称 为 紧急 复制 。 这 些 重要 的 更 新 数据 包含 用 户 账户 被 锁定 、 账 户 锁定 策略 更 
改 、 域 的 密码 策略 更 改 等 。 


9.1.2 不同 站 点 之 间 的 复制 


由 于 不 同 站 点 之 间 的 连接 速度 不 够 快 ， 因 此 为 了 降低 对 连接 带宽 的 影响 ， 故 站 点 之 间 的 
AD DS 数 据 在 复制 时 会 被 压缩 ， 而 且 数据 的 复制 是 采用 计划 任务 〈schedule) 的 方式 ， 也 就 是 
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在 定义 好 的 任务 时 间 内 才 会 进行 复制 工作 。 原 则 上 应 该 尽量 避 开 站 点 链接 的 网 络 负载 高 峰 阶 
段 ， 安 排 在 离 峰 时 期 执行 复制 工作 ， 同 时 复制 频率 也 不 要 太 高 ， 以 避免 复制 时 占用 两 个 站 点 
之 间 的 连接 带宽 ， 影 响 两 个 站 点 之 问 其 他 数据 的 传输 效率 。 

不 同 站 点 的 域 控制 器 之 间 的 复制 拓扑 ， 与 同一 个 站 点 的 域 控制 器 之 间 的 复制 拓扑 是 不 相 
同 的。 每 一 个 站 点 内 都 各 有 一 台 被 称 为 站 点 间 拓 扑 生成 器 的 域 控制 器 ， 它 负责 建立 站 点 之 间 
的 复制 拓扑 ， 并 从 其 站 点 内 挑选 一 台 域 控制 器 来 扮演 bridgehead 服 务 器 〈 桥 头 服务 器 ) 的 角 
色 ， 例 如 图 9-1-4 中 SiteA 的 DC1 与 SiteB 的 DC4， 两 个 站 点 之 间 在 复制 AD DS 数 据 时 ， 是 由 这 两 
台 bridgehead 服 务 器 负责 将 该 站 点 内 的 AD DS 变 动 数据 复制 给 对 方 ， 这 两 台 bridgehead 服 务 
器 得 到 对 方 的 数据 后 ， 会 再 将 它们 复制 给 同一 个 站 点 内 的 其 他 域 控制 器 。 


图 9.14 


两 个 站 点 之 间 AD DS 复 制 的 其 他 细节 ， 包 含 站 点 链接 〈site link) ， 开 销 、 复 制 任务 、 复 
制 频率 等 都 会 在 后 面 章 节 另 外 说 明 。 


9.1.3 ”目录 分 区 与 复制 拓扑 


AD DS 数 据 库 被 逻辑 的 分 为 以 下 多 个 目录 分 区 《〈 详 见 第 1 章 ) : 架构 目录 分 区 、 配 置 目 
录 分 区 、 域 目录 分 区 与 应 用 程序 目录 分 区 。 

KCC 在 建立 复制 拓扑 时 ， 并 不 是 整个 AD DS 数 据 库 只 采用 单一 复制 拓扑 ， 而 是 不 同 的 目 
录 分 区 各 有 其 不 同 的 复制 拓扑 ， 例 如 DC1 在 复制 域 目录 分 区 时 ， 可 能 DC2 是 它 的 直接 复制 伙 
伴 ， 但 是 在 复制 配置 目录 分 区 时 ，DC3 才 是 它 的 直接 复制 伙伴 。 


9.1.4， 复 制 通 信 协 议 


域 控制 器 之 间 在 复制 AD DS 数 据 时 ， 其 所 使 用 的 复制 通信 协议 分 为 以 下 两 种 。 
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忆 RPC overIP (Remote Procedure Call over Internet Protocol) 
无 论 是 同一 个 站 点 内 或 不 同 站 点 之 间 ， 都 可 以 利用 RPC over IP 来 执行 AD DS 数 据 库 
的 复制 操作 。 为 了 确保 数据 在 传送 时 的 安全 性 ，RPC over ]P 会 执行 验证 身份 与 数据 
加 密 的 工作 ， 


ED 
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在 Active Direetory 站 点 和 服务 控制 合 中 ， 同 一 个 站 点 之 间 的 复制 通信 协议 RPC over ITP 字 
样 会 被 改 用 IP 字 样 来 代表 。 


引 SMTP (Simple Mail Transfer Protocol) 


SMTP 只 能 够 用 来 执行 不 同 站 点 之 间 的 复制 ， 如 果 不 同 站 点 的 域 锭 制 器 之 间 无 法 直 

接 通信 ， 或 之 间 的 连接 质量 不 稳定 时 ， 就 可 以 通过 SMTP 来 传输 。 不 过 这 种 方式 有 

些 限制 ， 例 如 : 

加 只 能 够 复制 架构 目录 分 区 、 配 置 月 录 分 区 与 应 用 程序 目录 分 区 ， 不 能 复制 域 月 录 
分 区 ， 

图 需 向 企业 CA ( Enterprise CA ) 申请 证 书 ， 因 为 在 复制 过 程 中 ， 需 要 利用 证 书 来 进 
行 身份 验证 。 


默认 站 点 的 管理 


在 建立 第 一 个 域 ( 林 ) 时 ， 系 统 就 会 自动 建立 一 个 默认 上 站点， 以 下 介绍 如 何 来 管理 这 个 
默认 的 站 点 。 


9.2. 


1 默认 的 站 点 


可 以 利用 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 人 Acetive Directory 站 点 和 服务 】 
的 方法 来 管理 站 点 ， 如 图 9-2-1 所 示 。 


包 Default-First-Site-Name: 这 是 默认 的 第 一 个 站 点 ， 它 是 在 建立 AD DS 林 时 由 系统 自 


动 建立 的 站 点 ， 可 以 更 改 这 个 站 点 的 名 称 。 


立 Servers: 其 中 记录 着 位 于 此 Default-First-Site-Name 站 点 内 的 域 控制 器 与 这 些 域 控制 


器 的 设置 值 。 


Inter-Site Transports; 记录 着 站 点 之 间 的 JP 与 SMTP 这 两 个 复制 通信 协议 的 设置 值 。 
沁 Subnets: 可 以 通过 此 处 在 AD DS 内 建立 多 个 IP 子 网 ， 并 将 子 网 划 入 到 所 属 的 站 点 


图 2 


内 。 
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两 haive Dector Ms 了 务 三 亲 -w] 


| 六 iD， 帮 fEIA 查 丰 M。 上 了 (HH) 
和 只 | 五 醒 | 其 目 所 可 | 目 你 | 瑟 


图 92-! 
假设 在 AD DS 内 已 经 建立 了 多 个 IP 子 网 ， 此 时 在 安装 域 控制 器 时 ， 如 果 此 域 控制 器 是 位 
于 其 中 某 个 子 网 内 〈 从 IP 地 址 的 网 络 ID 来 判断 ) ， 则 此 域 控 制 器 的 计算 机 账户 就 会 自动 被 放 
到 此 子 网 所 隶属 的 站 点 内 。 
然而 在 建立 AD DS 林 时 ， 系 统 默认 并 没有 在 AD DS 内 建立 任何 的 子 网 ， 因 此 所 建立 的 域 
控制 器 就 不 属于 任何 一 个 子 网 ， 此 时 这 台 域 控制 器 的 计算 机 账户 会 被 放 到 Default-First-Site- 
Name 站 点 内 ， 例 如 图 9-2-1 的 中 的 DC1、DC2、…… 、DC6 等 域 控 制 器 都 是 在 此 站 点 内 。 


9.2.2 Servers 文 件 夹 与 复制 设置 


图 9-2-1 中 的 Servers 文 件 夹 内 记录 着 位 于 Default-First-Site-Name 站 点 内 的 域 控制 器 ， 而 在 
选择 图 中 的 任何 一 台 域 控制 器 后 〈 例 如 DC2) ， 将 出 现 如 图 9-2-2 所 示 的 界面 。 

图 中 的 NTDS Settings 内 包含 选择 两 个 由 KCC 所 自动 建立 的 连接 对 象 〈connection 
objeet) ， 其 名 称 都 是 自动 产生 ， 这 两 个 连接 对 象 分 别 来 自 DC1 与 DC3， 表 示 DC2 会 直接 接收 由 
这 两 台 域 控制 器 所 复制 过 来 的 AD DS 数 据 ， 也 就 是 说 这 两 台 域 控制 器 都 是 DC2 的 直接 复制 伙 ， 
伴 。 同 理 在 点 取 其 他 任何 一 人 台 域 控制 器 时 ， 也 可 以 看 到 它们 与 直接 复制 伙伴 之 问 的 连接 对 象 。 


| 硕 Aave preaon aas 和 =- 6 xl] 
站 淮 fEA 要 丰 MI， 0H 
和 路 | 症 丁 | 己 | 目 噬 | 总 


2 转 


到 | Windows Server 2016 Active Directory 配置 指南 


这 些 在 同一 个 站 点 内 的 域 控 制 器 相互 之 间 的 连接 对 象 ， 都 会 由 KCC 负 责 自动 建立 与 维 
护 ， 而 且 是 双向 的 。 也 可 以 根据 需要 来 手动 建立 连接 对 象 ， 例 如 假设 图 9-2-3 中 DC3 与 DC6 之 
间 原 本 并 没有 连接 对 象 存在 ， 也 就 是 它们 并 不 是 直接 复制 伙伴 ， 但 是 可 以 手动 在 它们 之 间 建 
立 单 向 或 双向 的 连接 对 象 ， 以 便 让 它们 之 间 可 以 直接 复制 AD DS 数 据 库 ， 例 如 图 中 手动 建立 
的 连接 对 象 是 单 向 的 ， 也 就 是 DC6 单 向 直接 从 DC3 来 复制 AD DS 数 据 库 。 


图 923 


建 Active Directory 域 服务 连接 纪 选择 DC323……]】. 


| 本 breeon as 一 
| ae arm mm mo 
| 和 团 | 赫 到 | 其 号 支 己 | 占 亚 | 忌 


区 


本 Ace Feaoy RE Isaymaocl | 2 5 本 Wi 和 
癌 shos | 时-Samnsaan- ECsx DeloiFost。 进 下 
NerS Tongpai 风 则 -sanxtaa cr petauh First 连天 
be | 量 -smeaan DC4 。。 DelealHfirst 上 

国 pefmuFrstshe-Name 


图 924 


在 双击 图 9-2-2 右 侧 的 任何 一 个 连接 对 象 后 〈 例 如 源 服务 器 为 DC1 的 那 一 个 ) ， 将 出 现 如 
图 9-2-5 所 示 的 界面 。 可 以 单 击 图 中 服务 器 右 侧 的 更 现 按 钮 ， 来 改变 复制 的 源 服务 器 。 


大 2 


第 9 章 AD DS 数据 库 的 复制 “| 时 时 


站 SB |DefaultFrstSite -Name 


和 的 名 称 上 下 广 (R Saeme conieoaion | 


部 分 复制 的 名 称 上 下 文 (P): saymsjckak sayiislocat | 


图 92-5 
如 果 域 控制 器 的 AD DS 数 据 有 变动 时 《例如 新 建 用 户 账户 ) ， 则 其 默认 是 15 秒 钟 后 会 通 
知 同一 个 站 内 的 直接 复制 伙伴 ， 以 便 将 数据 复制 给 它们 。 即 使 没有 数据 变动 ， 默 认 也 会 每 隔 


一 小 时 执行 一 次 复制 工作 ， 以 确保 没有 遗失 任何 应 该 复制 的 数据 ， 可 以 通过 如 图 9-2-5 所 示 中 
的 通 诅 这 划 按 钮 来 查看 与 更 改 此 间隔 时 间 ， 如 图 9-2-6 所 示 。 


-< 自动 生成 的 。 的 计划 


印 总 宣 

站 -2 4 6 - 直 -10.12. 记 -6.18.20.22.0 
| 一 
ai ||| | 


图 9246 
复制 的 话 ， 请 自行 以 手动 的 方式 来 完成 : 【 先 选择 图 9-2-7 左 侧 的 目的 服务 


器 〈 例 如 DC2) 3 单 击 NTDS Settings 纺 选中 右 侧 的 复制 来 源 服务 器 并 右 击 3 立 即 复 制 】， 图 
中 表示 立刻 从 DC1 复 制 到 DC2。 


如 果 想 要 立刻 
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对 Imter-Site Transports 
3 subnen 
~ 症 oeputFrstske Name 


9.3 ”利用 站 点 来 管理 AD DS 复 制 


以 下 将 先 利用 图 9-3-1 来 说 明 如 何 建立 多 个 站 点 与 ]P 子 网 ， 然 后 再 说 明 站 点 之 间 的 AD DS 


复制 设置 。 


站 点 之 间 
行 AD DS 数 


SiteB 
(上 海 /192.168:9.0) 


DC2 
92.168.82 
图 93-1 
除了 物理 链接 〈WAN link) 外 ， 还 必须 建立 逻辑 的 站 点 链接 〈site link) 才能 进 
据 库 的 复制 ， 


而 系统 默认 已 经 为 耻 复 制 通信 协议 建立 一 个 名 称 为 


DEFAULTIPSITELINK 的 站 点 链接 ， 如 图 9-3-2 所 示 。 


天 2 


天 Actve Direciory 站 点 4 可 务 
文体 月 ” 烛 f#A) 下 看 (V) 可 二 (H) 
和 中 | 争夺 | 国 G 卫 | 加 各 | 如 


和 RISEEOI | 2 


~ 习 sies MTT 


站 mersae Transponts 


/本 subnee 
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我 们 在 建立 图 9-3-1 中 的 SiteA 与 SiteB 时 ， 必 须 通过 站 点 链接 将 这 两 个 站 点 逻辑 的 连接 在 
一 起 ， 它 们 之 间 才 能 进行 AD DS 数 据 库 的 复制 。 
9.3.1 ”建立 站 点 与 子 网 

以 下 将 先 建立 新 站 点 ， 然 后 建立 隶属 于 此 站 点 的 中 子 网 。 

1. 建立 新 站 点 


我 们 将 说 明 如 何 建立 图 9-3-1 中 的 SiteA 与 SiteB。 
STEP 秋 。 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 23Active Directory 站 点 和 服务 写 如 图 9-3-3 


所 示 选 中 Sites 并 右 击 2 新 站 点 。 
辆 Active Directory 让 训 和 服务 二 FrT 区 
文件 中 。 强 fFA) 查看 大 有 (HI) 
和 虽 | 直 喇 | 其 届 到 中 | 回 加 | 已 
本 Active Diredory 让 SR 用 务 dclsaymslocal | 和 疗 [ 了】 
so 六 inersheT- 让 总 验 定 吕 
》 司 IE 本 subnees 了 了 8 可 
* 司 SL Ciuag-) 国 beteurprs_ 名 
， 轩 o 。。 ERU 
新 建 IN) 让 
所 有 全 芭 (0) 天 DPC 了 
| 一 、 
图 93-3 


STEP 四 。 在 图 9-3-4 中 设置 站 点 名 称 ( 例如 SiteA ) ， 并 将 此 站 点 归纳 到 适当 的 站 点 链接 后 单 击 


测控 钮 。 图 中 因为 目前 只 有 一 个 默认 的 站 点 链接 DEFAULTIPSITELINK， 故 只 能 够 
暂时 将 其 归纳 到 此 默认 的 站 点 链接 。 只 有 隶属 于 同一 个 站 点 链接 的 站 点 之 间 才能 进行 
AD DS 数 据 库 的 复制 。 
新 疆 对 象 - 站 点 X 
国 创建 于 
= (7 
站 点 履 接 对 驮 可 以 在 站 点 /站 点 间 的 传 
容 轩 中 定位 (S、 
许 近 名 传 对 
EtmpsnEuK 
图 934 


STEP 回 在 图 9-3-5 中 直接 单 击 荔 唱 按 钮 
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区 


Adive Diectory 二 所 


(ij 站 南 SheA 已 闻 建 ， 若 要 寺 成 SheA 的 配 杜 
确 恒 siteA 全 用 耻 应 的 站 点 印 接 已 多 琉 到 其 他 站 点 
为 SheA 柯 于 网 和 加 到 于 网 写 要 - 


在 SieA 中 安 灶 个 或 全 个 红 这 币 汪 ,或 后 现 有 DC 外 人 SI 


在 下 次 启动 Active Directory 站 上 和 服务 之 前 , 你 不 会 再 看 到 此 消 忆 - 


蕊 本 
图 93-5 
STEP 四 。 请 重复 STEP 税 到 STEP 图 来 建立 SiteB ， 图 9-3-6 为 完成 后 的 界面 。 


| 辐 Acive pyeaon MA 可 和 


口 芯 
文 /#(F。 提 fF(A) 查看 (V) 帮助 (H) 
和 中 | 六 加 | 居 辐 天 可 | 加 癌 | 已 
瑟 Acive Diredory 站 训 和 最 务 dclsaymsjocal | 至 床 人 本 E 
> 症 Sies 可 Inter-skeT- 站 辣 传 绽 客 扼 
; 习 Inter she Transports 条 wbnes 子 网 突 要 
> 站 subnms 周 oefauk-Frrs 站 高 
玫 Defauk-Frst-Site-Name 国 sieA 让 页 
站 
、 国 siee 
一 > 
图 9346 
2. 建立 IP 子 网 
以 下 将 说 明 如 何 建立 图 9-3-1 中 的 JP 子 网 192.168.8.0 与 192.168.9.0， 并 将 它们 分 别 划 入 到 
SiteA 与 SiteB 内 。 
STEP 税 。 如 图 9-3-7 所 示 【 选中 Subnets 并 右 击 纺 新 建 子 网 ] 。 
酿 Active Direatory 站 点 和 时 和 二 口 X 
文 fHP， 符 fF(A) 查看 (V) 究 助 (HT) 
如 中 | 二 右 | 其 回 古 可 | 目 吕 | 下 
本 Aive Diecon ME 和 dclteymcloco 名 从 让 点 《下 
有 站 Transports 这 本 疫 有 任何 天目. 
ss 王 


图 937 


STEP 回 ”在 图 9-3-8 中 的 前 绷 处 输入 192.168.8.0/24， 其 中 的 192.168.8.0 为 网 络 ID ， 而 24 表 示 子 网 
撞 码 为 255.255.255.0 ( 二 进 制 中 1 的 位 数 共 有 24 个 ) ， 并 将 此 子 网 划 入 站 点 SiteA 内 。 


帮 2ss 
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STEP 图 。 重复 前 两 个 步骤 来 建立 IP 子 网 192.168.9.0， 并 将 其 划 入 站 点 SiteB。 图 9-3-9 为 完成 后 的 
界面 。 


| 醒 Acive pireaory Ms 可 务 三 全 一 
| 广 # 加 。 强 fEA) 坦 看 MI 大 有 0H) 
| 和 史 | 磋 加 | 国 加 总 | 四 可 | 互 
国 Active Directory 站 点 和 服务 fdct.saymsjlocal ^ 
Y 国 Sies 
四 Inter-Ske Transports 
v 癌 Sbnes 
间 19216880124 出 
芭 192168.9.0/24 
> 国 Default-Frst-Ste-Name 
Cr 


192.168.8.0124 
中 192168ao/24 


9.3.2 ”建立 站 点 链接 


以 下 将 说 明 如 何 建立 图 9-3-1 中 的 站 点 链接 ， 并 将 此 站 点 链接 命名 为 SiteLinkAB。 我 们 利 
用 IP 复 制 通信 协议 来 说 明 。 


由 于 我 们 在 前 面 建 立 SiteA 与 SiteB 时， 都 已 经 将 SiteA 与 SiteB 归纳 到 
DEFAULTIPSITELINK 这 个 站 点 链接 ， 也 就 是 说 这 两 个 站 点 已 经 通过 
DEFAULTIPSITELINK 逮 辑 的 连接 在 一 起 了 。 我 们 通过 以 下 练习 来 将 其 改 为 通过 
SiteLinkAB 来 连接 。 
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STEP 回 


STEP 回 


STEP 


力 zeo 


请 如 图 9-3-10 所 示 【 选中 IP 并 右 击 3 新 站 点 链接 】。 


贿 Adive Directory 站 和 本 所 是 
文件 人 担 fE{A) 下 看 (V) 。 师 动 (H) 

和 史 | 赴 更 | 其 国 石 豆 | 目 氏 | 总 

wave Dieaoy SRES Tao | 2 和 

v 可 Saes 本 DEFAULTIPsITEUNK 。 站 S 接 


v 可 miersie Transparts 


图 93-10 
在 图 9-3-11 中 【 设置 站 点 链接 名 称 ( 例如 SiteLinkAB ) 2 选择 SiteA 与 SiteB 后 单 击 泗 出 
按钮 3 单 击 钴 奸 按 钮 ] 。 之 后 SiteA 与 SiteB 便 可 根据 站 点 链接 SiteLinkAB 内 的 设置 来 
复制 AD DS 数 据 库 。 


新 建 对 象 - 站 点 链接 共 


9-3-12 为 完成 后 的 界面 。 


本 Active Directory 站 语 和 服务 一 ;对 革 
文 fK。 担 fA) 可 看 MI 那 助 H) 
和 中 | 站 四 | X 国 还 杞 | 旧名 | 已 
酸 Active Directory 站 和 国务 dcl.saymslocal ^ | 乞 称 2 生还 
四 shes 于 DEFAULTpsITELINK 。 站 点 名 接 
v 司 Intersie Transports | 
司 m | 
二 | 
当 subnees | 
、 图 rekcyp ie cao_Name | 
< 二 | 


| 


图 93-12 
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9.3.3 ”将 域 控制 器 移动 到 所 属 的 站 点 


目前 所 有 的 域 控制 器 都 被 放置 到 Default-FirstSite-Name 站 点 内 ， 而 在 完成 新 站 点 的 建立 
后 ， 我 们 应 将 域 控制 器 移动 到 正确 的 站 点 内 。 以 下 假设 域 控制 器 DC1、DC2 与 DC3 的 了 P 地 址 
的 网 络 标识 符 都 是 192.168.8.0〈 如 图 9-3-13 所 示 ) ， 故 需 将 DC1、DC2 与 DC3 移 动 到 站 点 
SiteA; 同时 假设 DC4、DC5 与 DC6 的 由 地 址 的 网 络 标识 符 都 是 192.168.9.0， 故 需 将 DC4、DC5 
与 DC6 移 动 到 站 点 SiteB。 


WAN Link 


DC4、 
192.168.9.4 


DC2 
192.168.82 


几 93-13 


以 后 如 果 在 图 9-3-13 中 的 北京 网 络 内 安装 新 域 控制 器 的 话 ， 则 该 域 控制 器 的 计算 机 了 账户 
会 自动 被 放置 到 SiteA 内 ， 同 理 在 上 海 网 络 内 所 安装 的 新 域 控 制 器 ， 其 计算 机 账户 会 自 
动 被 放 到 SiteB 内 。 


STEP 回 。 如 图 9-3-14 所 示 【 展开 Default-First-Site-Name 站 点 马 单 击 Servers 纺 选中 要 被 移动 的 服 
务 器 ( 例如 DC1 ) 并 右 击 2 移 动 ] 。 


大 Active Directory 外 志和 本 气 二 已 共 
文人 (昌国 EAI 查看 (V) 天 凤 (H) 
各 哆 | 诗人 加 | 以 国志 二 | 目 加 | 已 
贿 Acive Directory 站 点 和 配 务 [dc saymslocal |]| 名 称 起 桥头 
vv 习 Sirs 

党 Iaer-Site Transports 


v 国 pebaufistsie-Name 


7 站 pcsx 布 ES。 > 
因 人 刷 pc6 
二 sw 
[ 王 二 2 和 
赂 93-14 


STEP 回 。” 在 图 9-3-15 选 择 目 标 站 点 SiteA 后 单 钮 。 
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STEP 


IED 


9.3.4 


国 2 


移动 服务 器 


图 9.3-15 


重复 以 上 步骤 将 DC2、DC3 移 动 到 
为 完成 后 的 界面 。 


SiteA、 将 DC4、DC5 与 DC6 移 动 到 


SiteB。 


国 Active Directory 站 点 和 服务 二 了- 后 
文件 四“ 所 (FIA) 查看 V) 再 B(H) 
和 中 | 古国 | 其 目下 时 | 占 三 | 已 
醒 Active Directory 站 点 和 服务 [dcl.saymsJocal || 名 称 尖 弄 旋 还 
v 司 Si 下 server 服务 器 安 敌 
》 国 Intersite Transports 国 NTps sie -。 让 点 设 桂 
本 subnets 
国 Defeuk-Ficstste-Name 
玫 - 误 
图 9.3-16 


指定 首选 的 bridgehead 服 务 器 


前 面 说 过 每 一 个 站 点 内 都 各 有 一 台 被 称 为 站 点 之 间 拓 扑 生成 器 的 域 控制 器 ， 它 负责 建立 
站 点 之 间 的 复制 拓扑 ， 并 从 其 站 点 内 挑选 一 台 域 控制 器 来 扮演 bridgehead 服 务 器 的 角色 ， 例 
如 图 9-3-17 中 SiteA 的 DCI1 与 SiteB 的 DC4， 两 个 站 点 之 间 在 复制 AD DS 数 据 时 ， 是 由 这 两 台 
bridgehead 服 务 器 负责 将 该 站 点 内 的 AD DS 变 动 数据 复制 给 对 方 ， 这 两 台 bridgehead 服 务 器 
得 到 对 方 的 数据 后 ， 会 再 将 它们 复制 给 同一 个 站 点 的 其 他 域 控制 器 。 


图 9-3-16 
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图 93-17 


也 可 以 自行 选择 扮演 bridgehead 服 务 器 的 域 控 制 器 ， 它 们 被 称 为 首选 的 bridgehead 服 务 
器 〈preferred bridgehead server) 。 例 如 要 将 SiteA 内 的 域 控制 器 DC1 指 定 为 首选 的 bridgehead 
服务 器 的 话 : 【请 如 图 9-3-18 所 示 展 开 站 点 SiteA 人 单 击 Servers 忆 点 选 域 控制 器 DC13 单 击 上 
方 属性 图 标 3 选 择 要 复制 的 通信 协议 《例如 也) 3 单 击 演 测 核 钮 ] 。 


四 - 可 两 于 让 邱 全 扫 从 关 的 信 
二 人 
| ES 

图 93-18 
可 以 重复 以 上 的 步骤 ， 来 将 多 人 台 的 域 控制 器 设 为 首选 的 bridgehead 服 务 器 ， 但 是 AD DS 
一 次 只 会 从 其 中 挑选 一 台 来 复制 数据 ， 若 这 一 台 出 现 故 障 了 ， 它 会 再 挑选 其 他 的 首选 的 

bridgehead 服 务 器 。 

若 要 查看 首选 的 bridgehead 服 务 器 列表 的 话 ， 也 可 以 【展开 Inter-Site Transports 孔 对 着 IP 


右 击 属 性 2 选择 属性 编辑 器 选项 卡 纪 单 击 一 珊 按 钮 3 选择 显示 只 读 属 性 处 的 反 向 链接 忆 双 
击 属 性 列表 中 的 bridgeheadServerListBL]】 。 
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非 必 要 请 不 要 自行 指定 首选 的 bridgehead 服 务 器 ， 因 它 会 让 KCC 停 止 自动 挑选 bridgehead 
服务 器 ， 此 时 若 所 选择 的 首选 的 bridgehead 服 务 器 都 出 现 故障 时 ，KCC 不 会 再 自动 挑选 
bridgehead 服 务 器 ， 如 此 将 没有 bridgehead 服 务 器 可 供 使 用 。 

若 要 将 扮演 首选 的 bridgehead 服 务 器 的 域 控 制 器 移动 到 其 他 站 点 的 话 ， 请 先 取消 其 首选 
的 bridgehead 服 务 器 的 角色 后 再 移动 。 


9.3.5 ”站 点 链接 与 AD DS 数 据 库 的 复制 设置 


两 个 站 点 之 间 是 通过 站 点 链接 的 设置 ， 来 决定 如 何 复制 AD DS 数 据 库 : 如 图 9-3-19 所 示 
【选中 站 点 链接 〈 例 如 SiteLinkAB) 并 右 击 人 属性 2 通过 图 9-3-20 的 界面 来 设置 】。 


一 Active Directony 站 襄 和 县 学 一 区 必 
文 村 有 量 fEA) 查看) 柜 动 (H) 
和 路 | 赵 | 其 国 世 全 | 目 好 | 总 
梧 Active Direciory 站 上 和 服务 dc 号 3 本 
六 Saes 对 DEFAuULTIPSTEUNK 。 站 ss 接 
关 Nna 二 
| 
) 避 sMm SS 
尖 subneu 
Re > 
国 seA 大 助 (和 
1 国 shes 
2 RCIEPE 和 
| 栓 全 全 当前 所 于 户 会 ， 
图 93-19 
ET 六 
人 
上 us 
EL 
aa ER 
[DauFretSeName fw | 
吕 
| 
| | 
| | | 
1 寺 HE 
or 罗 司 
下 画 个 
图 93-20 


匀 更 改 站 点 链接 中 的 站 点 成 页 : 可 以 在 界面 中 将 其 他 的 站 点 加 入 到 此 站 点 链接 
SiteLinkAB 内 ， 也 可 以 将 站 点 从 这 个 站 点 链接 中 删除 - 


图 264 
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习 开销 (cost) : 如 果 两 个 站 点 之 间 有 多 个 物理 的 WAN link， 则 它们 之 间 就 可 以 有 多 个 
逻辑 的 站 点 链接 ， 而 每 一 个 站 点 链接 可 以 有 着 不 同 的 开销 【默认 值 为 100 ) 。 这 里 的 
开销 是 用 来 与 其 他 站 点 链接 相 比较 的 相对 值 。 每 一 个 站 上 志 链接 的 开销 计算 ， 需 要 考 
虐 到 物理 WAN jink 的 连接 带宽 、 稳 定性 、 延 迟 时 间 与 费用 ， 例 如 若 开 销 考虑 是 以 
WAN link 的 连接 带宽 为 依据 的 话 ， 则 应 该 将 带宽 较 大 的 站 点 链接 的 开销 值 设置 得 较 
低 ， 假 设 将 带宽 较 低 的 站 点 链接 的 开销 设置 为 默认 的 100， 则 带宽 较 大 的 站 点 链接 的 
开销 值 应 该 要 比 100 小 。KCC 在 建立 复制 拓扑 ， 会 选择 站 点 链接 开销 较 低 的 域 控 制 器 
来 当 作 直 接 复制 伙伴 ， 
另外 ， 用 户 在 登录 时 ， 如 果 其 计算 机 所 在 的 站 点 内 没有 域 控制 器 可 以 提供 服务 的 话 
( 例如 域 控制 器 因 故 脱 机 ) ， 则 用 户 的 计算 机 会 到 其 他 站 点 去 寻找 域 控制 器 ， 此 时 
会 通过 站 点 链接 开销 最 低 的 连接 去 查找 域 控 制 器 ， 以 便 让 用 户 能 够 快速 地 登录 。 

涪 复制 频率 为 每 … 分 钟 、 更 改 计划 : 复制 频率 为 每 … 分 钟 用 来 设置 未 属于 此 站 点 链接 

的 站 点 之 间 ， 每 隔 多 长 时 间 复制 一 次 AD DS 数 据 库 ， 默 认 是 180 分 钟 。 
但 并 不 是 时 间 到 了 就 一 定 会 执行 复制 工作 ， 因 还 需 看 是 否 允 许 在 此 时 间 复 制 ， 此 设 
置 是 通过 前 面 图 9-3-20 的 更 收获 按钮， 然后 利用 图 9-3-21 来 更 改 计划 。 默 认 是 一 个 
星期 7 天 、1 天 24 小 时 的 任何 时 段 都 允许 进行 复制 ， 可 以 更 改 此 计划 ， 例 如 改 为 高 峰 
时 期 不 允许 复制 ， 不 过 它 会 增加 复制 的 延迟 时 间 。 


SheUinkeAB 的 计划 x 


DB 


重 


旺 央 -至 星期 日 从 000 点 到 000 点 


图 9321 


9.3.6 ”站 点 链接 桥 


站 点 链接 桥 〈site link bridge) 是 由 两 个 或 多 个 站 点 链接 所 组 成 ， 它 让 这 些 站 点 链接 具备 
转移 性 〈transitive) ， 例 如 图 9-3-22 中 SiteA 与 SiteB 之 间 已 经 建立 了 站 点 链接 SiteLinkAB， 而 
SiteB 与 SiteC 之 间 也 建立 了 站 点 链接 SiteLinkBC， 则 站 点 链接 桥 SiteLinkBridgeABC 让 SiteA 与 
SiteC 之 间 具 备 着 隐 性 的 站 点 链接 ， 也 就 是 说 KCC 在 建立 复制 拓扑 时 ， 可 以 将 SiteA 的 域 控制 
器 DC1 与 SiteC 的 域 控制 器 DC3 设 置 为 直接 复制 伙伴 ， 让 DC1 与 DC3 之 间 可 以 通过 两 个 WAN 
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link 的 物理 链 路 ， 来 直接 复制 AD DS 数 据 ， 不 需要 由 SiteB 的 域 控制 器 DC2 来 转送 ， 


SiteLinkBC 
UPIN4) 


WANLInk WAN Link 


SiteLinkBridgeABC 


《{ 玫 全 yw4= 了) 


人 忆 SiteA Siet | 
Elo2.16.10) 一 


图 93-22 


图 中 SiteLinkAB 的 开销 为 3、SiteLinkBC 的 开销 为 4， 则 SiteLinkBridgeABC 的 开销 是 3 + 4 
=7， 由 于 此 开销 高 于 SiteLinkAB 的 开销 3 与 SiteLinkBC 的 开销 4， 因 此 KCC 在 建立 复制 拓扑 ， 
默认 不 会 在 DC1 与 DC3 之 间 建 立 连接 对 象 ， 也 就 是 不 会 将 DC1 与 DC3 设 置 为 直接 复制 伙伴 ， 
除非 DC2 无 法 使 用 〔 例 如 计算 机 故障 、 脱 机 ) 。 

系统 默认 会 自动 桥接 所 有 的 站 点 链接 ， 可 以 通过 如 图 9-3-23 所 示 【 展开 Inter-Site 
Transports 马 单 击 IP 文 件 夹 纺 单 击 上 方 属性 图 标 驴 勾 选 或 取消 为 所 有 站 点 链接 搭桥 】 的 方法 米 
更 改 其 设置 值 。 


本 Active Directory 直击 和 国 本 : 
六 二 日 。 归 YA 重 于 本 HI) 


ET GEETIETE 


[ET 了 广 
二 司 nersie Tanapons | 4。 R 大 六 研 。EEEm 
己 P 
翌 swrm 中 
“二 Subnets 己 
国 pefask-Frstsihe-Neme| _ 
国 She 
， 国 shee AD 
1 EPE 
口 包 咯 计 昌 人 
AN 
图 93-23 


由 于 系统 默认 已 经 自动 桥接 所 有 的 站 点 链接 ， 因 此 不 需要 另外 手动 建立 站 点 链接 桥 ， 除 
非 想 要 控制 AD DS 数 据 复制 的 方向 或 两 个 站 点 之 间 受 到 限制 无 法 直接 通信 ， 例 如 在 图 9-3-22 
的 SiteB 内 搭建 了 防火 墙 ， 并 通过 防火 增 限 制 SiteA 的 计算 机 不 能 与 SiteC 的 计算 机 通信 ， 则 图 
中 的 SiteLinkBridgeABC 就 没有 意义 了 ， 因 为 SiteA 将 无 法 直接 与 SiteC 进 行 AD DS 数 据 库 复 
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制 ， 此 时 如 果 SiteA 还 可 以 通过 另外 一 个 站 点 SiteD 来 与 SiteC 通 信 的 话 ， 我 们 就 没有 必要 让 
KCC 浪 费时 间 建 立 SiteLinkBridgeABC， 或 浪费 时 间 尝 试 通过 SiteLinkBridgeABC 来 复制 AD DS 


数据 库 ， 也 就 是 说 可 以 先 取消 勾 选 图 9-3-239 


的 为 所 有 站 点 链接 搭桥 ， 然 后 如 图 9-3-24 所 示 自 


行 建立 SiteLinkBridgeADC ， 以 便 让 SiteA 的 计算 机 与 SiteC 的 计算 机 直接 选择 通过 


SiteLinkBridgeADC 进 行 通信 。 


栈 Active Directomy 站 襄 和 县 生 一 了 全 
六 村 用 草 fEA) 本 要 MI) 师 双 H) 


JE FaES00 二 aa 
< ERAUUTRSTELNK 


N 
| 有 | 


图 9324 


9.3.7 ”站 点 链接 桥 的 两 个 范例 讨论 
1 站 点 链接 桥 范 例 一 


图 9-3-25 中 SiteA 与 SiteB 之 间 、SiteB 与 SiteC 之 间 分 别 建立 了 站 点 链接 


同 的 复制 计划 
录 分 区 来 说 明 


， 并 且 分 别 有 着 不 


与 复制 频率 ， 请 问 DC1 与 DC3 之 间 何 时 可 以 复制 AD DS 数 据 库 〈 以 下 针对 域 目 


) 


SiieLinkAB 
复制 计划 : 1.00 PM -400PM _-- 基 
复制 频率 :30 分 钟 

开销 3 


WAN Link WAN Liok 


1 
上 

pecl 

192.168.11 时 


SiteLinkBridgeABC 


SiteA (开销 3+4=7) 


多 上海 192.168.10) 


UnHI2.16830) 室 移 


责 9325 
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习 如 果 DC2 正 常 工作 ， 并 且 DC1、DC2 与 DC3 隶 属于 同一 个 域 


图 中 SiteLinkAB 开 销 为 3、SiteLinkBC 开 销 为 4， 因 此 SiteLinkBridgeABC 开 销 是 3 + 和 
=7， 由 于 此 开销 高 于 SiteLinkAB 的 开销 3 与 SiteLinkBC 的 开销 4， 因 此 KCC 在 建立 复 
制 拓扑 时 ， 并 不 会 在 DC1I 与 DC3 之 间 建 立 连 接 对 象 ， 也 就 是 不 会 将 DC1 与 DC3 设 为 直 
接 复 制 伙伴 ， 所 以 DC1 与 DC3 在 复制 AD DS 数 据 库 时 必须 通过 DC2 来 传送 

当 DCi 的 AD DS 数 据 有 变动 时 ， 它 可 以 在 1:00 PM ~ 咎 00 PM 之 间 将 数据 复制 给 
DC2， 而 DC2 在 收 到 数据 并 存储 到 其 AD DS 数 据 库 后 ， 会 在 2:00 PM ~ 6:00 PM 之 同 
将 数据 复制 给 DC3。 


习 如 果 DC2 脱 机 ， 或 DC2 与 DCIHDC3 不 是 隶属 于 同一 个 域 


此 时 因为 DC2 无 法 提供 服务 或 不 会 存储 不 同 域 的 AD DS 数 据 ， 因 此 DC1 与 DC3 之 间 必 
须 直 接 复 制 AD DS 数 据 库 ， 此 时 KCC 在 建立 复制 抵 扑 时 ， 因 为 SiteA 与 SiteC 之 间 有 站 
上 起 桥接 连接 器 ， 所 以 会 在 DC1 与 DC3 之 问 建立 连接 对 象 ， 也 就 是 将 DC1 与 DC3 设 置 为 
直接 复制 伙伴 ， 让 DC1 与 DC3 之 间 可 以 直接 复制 。 

但 是 何 时 DC1 与 DC3 之 间 才 会 直接 复制 AD DS 数 据 库 呢 ? 它们 只 有 在 两 个 站 眠 链接 的 
复制 计划 中 有 重 登 的 时 段 才 会 进行 复制 工作 ， 例 如 SiteLinkAB 复 制 计 划 是 1:00 PM -- 
400 PM， 而 SiteLinkBC 是 2:00 PM ~ 6:00 PM， 因 此 DC1 与 DC3 之 间 会 复制 的 时 间 为 
2:00 PM ~ 4:00PM 

另外 ，DC1 与 DC3 之 间 的 复制 间隔 时 间 为 两 个 站 点 链接 的 最 大 值 ， 例 如 SiteLinkAB 为 
30 分 钟 ，SiteLinkBC 为 60 分 钟 ， 则 DC1 与 DC3 为 两 个 站 点 链接 的 复制 间隔 时 间 为 60 分 
韩 s 


2 


在 DC2 故 障 或 脱 机 ( 或 DC2 不 是 与 DCIDC3 同 一 个 域 ) 的 情况 下 ， 虽 然 可 以 通过 站 点 桥 
接连 接 器 让 DC1 与 DC3 直 接 复制 AD DS 数 据 库 ， 但 是 如 果 两 个 站 点 链接 的 复制 计划 中 没 
有 重合 时 段 的 话 ， 则 DC1 与 DC3 之 间 还 是 无 法 复制 AD DS 数 据 库 。 


站 点 链接 桥 范 例 二 


如 果 图 9-3-26 中 SiteA 与 SiteB 之 间 、SiteB 与 SiteC 之 间 分 别 建立 了 站 点 链接 ， 但 是 却 取消 


多 选 前 面 图 9-3-23 中 的 桥接 所 有 站 点 链接 ， 且 并 没有 自行 建立 站 点 桥接 连接 器 ， 则 DCI1 与 
DC3 之 间 是 否 可 以 进行 AD DS 复 制 呢 《以 下 针对 域 目录 分 区 来 说 明 ) ? 


贺 2s 


旬 如 果 DC2 正 常 工 作 ， 并 且 DC1、DC2 与 DC3 隶 属于 同一 个 域 


此 时 由 于 SiteA 与 SiteC 之 间 没 有 站 点 桥接 连接 器 ， 因 此 KCC 在 建立 复制 拭 扑 时 ， 不 
会 在 DC1 与 DC3 之 间 建 立 连接 对 象 ， 也 就 是 不 会 将 DC1 与 DC3 设 为 直接 复制 伙伴 ， 
因此 DC1 与 DC3 之 则 只 能 够 通过 DC2 来 转发 AD DS 数 据 。 


浊 如 果 DC2 脱 机 ， 或 DC2 与 DCIDC3 不 是 隶属 于 同一 个 域 


此 时 DC2 无 法 接收 与 存储 DC1 与 DC3 的 AD DS 数 据 ， 因 此 DC1 与 DC3 必 须 直接 复制 
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AD DS 数 据 ， 但 是 因为 SiteA 与 SiteC 之 间 并 没有 站 点 桥接 连接 器 ， 因 此 KCC 无 法 在 
DC1 与 DC3 之 间 建 立 连接 对 象 ， 也 就 是 无 法 将 DC1 与 DC3 设 为 直接 复制 伙伴 ， 所 以 
DC1 与 DC3 之 间 将 无 法 复制 AD DS 数 据 . 


WAN Link 


SiteA 
芯 ( 上 海 /192.168.1.0) 


峰 9326 


9.4 ”管理 全 局 编 录 服务 器 


全 局 编 录 服 务 器 (Global Catalog Server，GC) 也 是 一 台 域 控制 器 ， 其 中 的 全 局 编 录 存 储 
着 林 中 所 有 AD DS 对 象 ， 如 图 9-4-1 所 示 。 


FE 一 > 存储 域 A" 猎 目录 分 区 "的 完 作 信息 
人 一 站 人 8 坟 B 总 日 并 分 区 "的 浊 份 信息 


人 人 所 一 站 全 c 谍 旧 好 分 区 "的 妆 份 信息 


图 94-1 
图 中 的 一 般 域 控制 器 内 只 会 存储 所 属 域内 域 目录 分 区 的 完 浆 信息 ， 但 是 全 局 编 录 服务 器 
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还 会 存储 林 中 所 有 其 他 域 之 域 目录 分 区 对 象 的 部 分 属性 ， 让 用 户 可 以 通过 全 局 编 录 内 的 这 些 
属性 ， 很 快速 地 找到 位 于 其 他 域内 的 对 象 。 系 统 默认 会 将 用 户 常 用 来 查找 的 属性 加 入 到 全 局 
编 录 内 ， 例 如 登录 账户 名 称 、UPN、 电 话 号 码 等 。 


9.4.1 向 全 局 编 录 内 添加 属性 


也 可 以 自行 利用 Aetive Direetory 架 构 控 制 台 来 将 其 他 属性 加 入 到 全 局 编 录 内 ， 不 过 可 能 
需要 在 域 控制 器 上 先 执行 regsvr32schmmgmt.dll 命 令 来 登录 sechmmgmt.dl， 然 后 再 通过 【 按 
田 + 图 键 2 和 输入 MMC 后 单 击 笨 区 按钮 2 单 击 文件 菜单 2 添加 /删除 管理 单元 2 选择 Active 
Direetory 架 构 3 单 击 涨 出 按钮 】 来 建立 此 控制 台 。 

如 果 要 将 其 他 属性 加 入 到 全 局 编 录 中 的 话 : 【如 图 9-4-2 所 示 单 击 左 侧 的 属性 文件 夹 双 
击 右 侧 要 加 入 的 属性 纪 如 前 景 图 所 示 色 选 将 此 属性 复制 到 全 局 编 录 】， 


acsinwleTelrphoneNumber 硬性 了 徊 
EEC 7 人 
拘 zsn an mw_ aaso ec 电 
和 和 吵 | 雪 半 后 坪 三 | 目 和 区 UsnieiaepheneNunewr 


1 寺 
丙 eaie braon 天 区 modeacloana 


9.4.2 ”全 局 编 录 的 功能 
全 局 编 录 主 要 提供 以 下 的 功能 : 


沁 快速 查找 对 象 : 由 于 全 局 编 录 内 存储 着 林 中 所 有 域 的 域 目 录 分 区 的 对 象 的 部 分 属 
性 ， 因 此 让 用 户 可 以 利用 这 些 属性 很 快 地 找到 位 于 其 他 域 的 对 象 。 举 例 来 说 ， 系 统 
管理 员 可 以 使 用 【 单 击 左下 角 开 始 图 标 因 人 Windows 管理 工具 人 Acetive Direetory 管 
理 中 心 3 如 图 9-4-3 所 示 单 击 全 局 搜索 忆 将 范围 处 改 为 全 局 编 录 搜索 〗 的 方法 ， 通 过 
全 局 编 录 快速 地 查找 对 象 。 


图 2 
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苇 Acive Diredon 生理 PC 


ctive Director， 《全 山 交 
曾 正 埋 “ES 为 LDAp 


E 


2 


Windows PowerShell 历史 记 灵 :5 


图 943 


全 局 编 录 的 TCP 端 口号 码 为 3268， 因 此 如 果 用 户 与 全 局 编 录 服务 器 之 间 被 防火 墙 隔 开 的 
话 ， 请 在 防火 墙 开放 此 端口 


习 提供 UPN (user principal name ) 的 验证 功能 : 当 用户 利 用 UPN 登 录 时 ， 如 果 负 责 验 
证 用 户 身份 的 域 控制 器 无 法 从 其 AD DS 数 据 库 来 得 知 该 用 户 是 隶属 于 哪 一 个 域 的 
话 ， 它 可 以 向 全 局 编 录 服务 器 查询 。 例 如 用 户 到 域 sh:sayiis.local 的 成 员 计 算 机 上 利用 
其 UPNgeorge(@sayms.local 账 户 登 录 时 ， 由 于 域 sh.sayiis.local 的 域 控制 器 无 法 得 知 此 
george(@sayms local 账户 是 位 于 哪 一 个 域内 ( 见 Q&A ) ， 因 此 它 会 向 全 局 编 录 查询 ， 
以 便 完 成 验证 用 户 身份 的 工作 。 


辐 如 果 用 户 的 UPN 为 george@sayms.local， 则 该 用 户 账户 就 一 定 是 存储 于 域 sayms.local 
的 AD DS 数 据 库 吗 ? 


A 

图- 虽然 用 方 账户 的 UPN 后 缀 默认 就 是 账户 所 在 域 的 域名 ， 但 是 后 缀 可 以 更 
改 ， 而 且 如 果 用 户 账 户 被 移动 到 其 他 域 时 ， 其 UPN 并 不 会 自动 更 改 ， 也 就 是 说 UPN 后 邹 
不 一 定 就 是 其 域名 。 


当 提供 通用 组 的 成 员 信息 : 我 们 在 第 8 章 讲 过 ， 当 用 户 登 录 时 ， 系 统 会 为 用 户 建 立 一 个 
access token， 其 中 包含 着 用 户 所 隶属 组 的 SID， 也 就 是 说 用 户 登录 时 ， 系 统 必 须 得 知 
该 用 户 隶 属于 哪些 组 ， 不 过 因为 通用 组 的 成 员 信息 只 存储 在 全 局 编 录 ， 因 此 当 用 户 
登录 时 ， 负 责 验证 用 户 身份 的 域 控制 器 ， 需 要 向 全 局 编 录 服务 器 查询 该 用 户 所 隶属 
的 通用 组 ， 以 便 建 立 access token， 让 用 户 完 成 登录 的 过 程 。 


当 用 户 登 录 时 ， 如 果 找 不 到 全 局 编 录 服务 器 的 话 【〔 例 如 故障 、 脱 机 ) ， 则 用 户 是 否 可 以 
成 功 登 录 呢 ? 
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名 如 果 用 户 之 前 曾经 在 这 台 计 算 机 成 功 登录 过 ， 则 这 台 计 算 机 仍然 能 够 利用 存储 在 其 
缓存 区 ( cache ) 内 的 用 户 身份 数据 (credentials ) ， 来 验证 用 户 的 身份 ， 因 此 还 是 可 
以 成 功 登 录 。 

浊 如 果 用 户 之 前 未 曾 在 这 台 计 算 机 登录 过 ， 则 这 台 计算 机 的 狂 存 区 内 就 不 会 有 该 用 户 
的 身份 信息 ， 故 无 法 验证 用 户 身份 ， 因 此 用 户 无 法 登录 。 


如 果 用 户 是 隶属 于 Domain Admins 组 的 成 员 ， 则 无 论 全 局 编 录 是 否 在 线 ， 他 都 可 以 登 
录 。 


如 果 要 将 某 台 域 控制 器 设 种 为 或 取消 为 全 局 编 录 服务 器 的 话 : 【如 图 9-4-4 所 示 单 击 该 域 
控制 器 3 单 击 NTDS Settings 单 击 上 方 属 性 图 标 信 匀 选 或 取消 久 选 前 景 图 中 的 全 局 编 录 】。 
央 Active Direciory 类 二 和 本 过 
415 蜀 xjs > 6 本 | 
两 As Dreaay ES 关 二 ciaa| NTDs Setingy 全 从 
~ 习 sums 
可 Imecshe Tmnsporks 于 汪 。 下 二。 习 间 安全 。 着 仁 有 汪 

Subnets 


sa 


们 和 


了 o 吧 0 | 
是 汪 pnsBEINE [DERA9I0EW8H958T8CC3E560cH node 
ED 
丰富 拉 1 癌 取 二 于 信人 用 的 利生- 
图 9--4 


9.4.3， 通用 组 成 员 缓存 


虽然 应 该 在 每 一 个 站 点 内 启用 一 台 全 局 编 录 服务 器 ， 但 是 对 一 个 小 型 站 点 来 说 ， 由 于 硬 
件 配备 有 限 、 经 费 短缺 、 带 宽 不 足 等 因素 的 影响 ， 因 此 可 能 不 想 在 此 站 点 搭建 一 台 全 局 编 录 
服务 器 。 此 时 可 以 通过 通用 组 成 员 缓存 来 解决 此 问题 。 

例如 图 9-4-5 中 如 果 SiteB 启 用 了 通用 组 成 员 缓存 ， 则 当 用 户 登 录 时 ，SiteB 内 的 域 控制 器 
会 向 SiteA 的 全 局 编 录 服务 器 查询 用 户 是 隶属 于 哪些 通用 组 ， 该 域 控制 器 得 到 这 些 数 据 后 ， 便 
会 将 这 些 数据 存储 到 其 缓存 区 内 ， 以 后 当 这 个 用 户 再 登录 时 ， 这 人 台 域 控制 器 就 可 以 直接 从 缓存 
区 内 得 知 该 用 户 是 隶属 于 哪些 通用 组 ， 不 需要 再 向 全 局 编 录 查询 。 此 功能 拥有 以 下 的 好 处 : 


浊 提高 用 户 登 录 的 速度 ， 因 为 域 控 制 器 不 需要 再 向 位 于 远程 另外 一 个 站 点 的 全 局 编 录 
查询 。 
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习 现 有 域 控制 器 的 硬件 不 需要 升级 。 由 于 全 局 编 录 的 负担 比较 重 ， 因 此 需要 比较 好 的 
硬 设 备 ， 然 而 站 点 启用 通用 组 成 员 缓 存 后 ， 该 站 点 内 的 域 控制 器 就 可 以 不 需要 对 硬 
件 升级 。 


浊 减轻 对 网 络 带 宽 的 负载 ， 因 为 不 需要 与 其 他 站 点 的 全 局 编 录 来 复制 林 中 所 有 域内 的 
所 有 对 象 。 


WAN Link 


SR 


加 查询 所 隶属 的 全 局 组 
一 一 一 一 一 


一， 
全 局 编 录 本 传送 所 求 属 的 全 局 组 
服务 器 


域 控制 器 
司 


将 所 得 信息 存储 到 缓存 区 


图 945 
启用 通用 组 成 员 缓存 的 方法 为 : 【如 图 9-4-6 所 示 选 择 站 点 《例如 SiteB) 驴 选 中 右 侧 的 
NTDS Settings 并 右 击 属 性 3 匀 选 启用 通用 组 成 员 身份 缓存 】。 
[< 
柄 Acive Dreaory EESR 2 
文本 们 一 fWAI， 查 荐 (V)。 帮 了 (H) 
刀 中 | 石生 | 义 怕 局 本 | 目 曾 | 豆 | 坪 nmsesmw 
CE 
0 RE 
EtaO- 
站 二 折 科 生成 加 
[3 
回忆 用 姐 用 组 或 员 攻 从 短 至 f) 
3 人 


图 946 
域 控 制 器 默认 会 每 隔 8 小 时 更 新 一 次 缓存 区 ， 也 就 是 每 隔 8 小 时 向 全 局 编 录 服务 器 索取 一 


次 最 新 的 信息 ， 而 它 是 从 哪 一 个 站 点 的 全 局 编 录 服务 器 来 更 新 缓存 数据 的 呢 ? 这 可 从 图 
中 最 下 方 的 启用 通用 组 成 员 身份 缓存 ( Refresh Cache from ) 来 选择 。 
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9.5 ”解决 AD DS 复 制 冲突 的 问题 


AD DS 数 据 库 内 的 大 部 分 数据 是 利用 多 主 复制 模式 来 复制 的 ， 因 此 可 以 直接 更 新 任何 一 
台 域 控制 器 内 的 AD DS 对 象 ， 之 后 这 个 更 新 对 象 会 被 自动 复制 到 其 他 域 控制 器 。 

但 是 如 果 两 位 系统 管理 员 同时 分 别 在 两 台 域 控制 器 建立 相同 的 对 象 ， 或 是 修改 相同 对 象 
的 话 ， 则 之 后 双方 开始 相互 复制 这 些 对象 时 ， 就 会 发 生 冲突 ， 此 时 系统 应 该 如 何 来 解决 这 个 
问题 呢 ? 


9.5.1 属性 标记 


AD DS 使 用 标记 《stamp) 来 作为 解决 冲突 的 依据 。 当 修改 了 AD DS 某 个 对 象 的 属性 数据 
后 《例如 修改 用 户 的 地 址 ) 后 ， 这 个 属性 的 标记 数据 就 会 改变 。 这 个 标记 是 由 三 个 数据 所 组 
成 的 ， 


| 版 本 号 码 。 | 修改 时 间 。 | 域 控制 器 的 GUID 


下 版 本 号 码 (version number ) : 每 一 次 修改 对 象 的 属性 时 ， 属 性 的 版 本 号 码 都 会 增 
加 。 起 始 值 是 1， 
习 修改 时 间 (timestamp ) : 对 象 属性 被 修改 的 原始 时 间 。 
浊 域 控制 器 的 GUID: 发 生 对 象 修改 行为 的 原始 域 控制 器 的 GUID。 
AD DS 在 解决 冲突 时 ， 是 以 标记 值 最 高 的 优先 ， 换 句 话说 版 本 号 码 较 高 的 优先 ; 如 果 版 
本 号 码 相同 ， 则 以 修改 时 间 较 后 的 优先 ， 如 果 修改 时 间 还 是 相同 ， 再 比较 原始 域 控制 器 的 
GUID，GUID 数 值 较 高 的 优先 。 


9.5.2 “冲突 的 种 类 


AD DS 对 象 共有 以 下 三 种 不 同 种 类 的 冲突 情况 ， 而 不 同 种 类 的 冲突 ， 其 解决 冲突 的 方法 
也 不 同 : 


习 属性 值 相 冲突 

浊 在 某 容 器 内 新 建 对 象 或 将 对 象 移动 到 此 容器 内 ， 但 是 这 个 容器 已 经 在 另外 一 台 域 控 
制 器 内 被 删除 了 

包 名 称 相同 


1， 属 性 冲突 的 解决 方法 
如 果 属 性 值 发 生 冲 突 ， 则 以 标记 值 最 高 的 优先 。 举 例 来 说 ， 假 设 用 户 王 乔治 的 显示 名 称 
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属性 的 版 本 号 码 目前 为 1， 而 此 时 有 两 位 系统 管理 员 分 别 在 两 台 域 控制 器 上 修改 了 王 乔治 的 


显示 名 称 〈 如 图 9-5-1 所 示 ) ， 则 在 这 两 台 域 控制 器 内 ， 显 示 名 称 属 性 的 版 本 号 码 都 会 变 为 
2。 因 为 版 本 号 码 相 同 ， 故 此 时 需要 以 修改 时 间 来 决定 以 哪个 系统 管理 员 所 修改 的 数据 优 
先 ， 也 就 是 修改 时 间 较 晚 的 优先 。 
[ = 局 文 
王 乔 治 硬 - 梧 熙 司 
总 户 (A) 组 织 下 号 ” 
诅 可 (D) 
密码 设置 (5) 。 电子 部 件 : 公 避 
醒 村 文件 (p) 。 网 王 Se 有 
生 巾 其 他 网 页 直 按 报告 
电话 号 码 ， -| 
锭 收回 主要 电话 与 码 : 下 
扩展 (E) 溃 浊 -二 二 
| Ge EL 现 洒 
图 9.51 
可 以 利用 以 下 的 repadmin 程 序 来 查看 版 本 号 码 〈 参 考 图 9-5-2) : 
repadmin /showmeta CN= 王 乔治 ,0U= 业 务 部 , DC=sayms, DC=local 
ET 4 ee 


图 9.S2 


FEED 


Repadmin.exe 还 可 以 用 来 查看 域 控制 器 的 复制 拓扑 、 建 立 连 接 对 象 、 手 动 执 行 复制 、 查 
看 复制 信息 、 查 看 域 控制 器 的 GUID 等 。 


2.， 对象 存储 容器 被 删除 的 解决 方法 


例如 某 位 系统 管理 员 在 第 1 人 台 域 控制 器 上 将 图 9-5-3 中 的 组 织 单位 会 计 部 删除 ， 但 是 同时 
在 第 2 台 域 控制 器 上 却 有 另外 一 位 系统 管理 员 在 组 织 单位 会 计 部 内 新 建 一 个 用 户 账 户 高 丽 
伪 。 请 问 两 台 域 控制 器 之 间 开 始 复制 AD DS 数 据 库 时 ， 会 发 生 什么 情况 呢 ? 
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图 953 
此 时 所 有 域 控制 器 内 的 组 织 单位 会 计 部 都 会 被 删除 ， 但 是 用 户 账户 高 丽 个 会 被 放置 到 
LostAndFound 文 件 夹 内 ， 如 图 9-5-4 所 示 。 这 种 冲突 现象 并 不 会 使 用 到 标记 来 解决 问题 。 


是 Arve pieaor go 二 


图 9.54 


ED 


若 要 练习 验证 上 述 理论 的 话 ， 请 先 让 两 全 域 控制 器 之 间 网 络 无 法 通信 ， 然 后 分 别 在 两 全 
域 控制 器 上 操作 ， 再 让 两 台 域 控制 器 能 够 通过 网 络 正常 通信 、 手 动 复制 AD DS 数 据 库 。 
不 过 请 先 执行 以 下 步骤 ， 否 则 无 法 删除 组 织 单位 会 计 部 : 【 打开 Acetive Direetory 管 理 中 
心 3 选 中 组 织 单位 会 计 部 并 右 击 了 属性 2 如 图 9-5-5 所 示 单 击 组 织 单位 节 取 消 勾 选 防止 
意外 删除 ] 。 


会 计 部 3 
和 Retao) 组 织 单位 名 


二 全 开导 六 各 | 醒 Eee 
扩 醒 介 地 直 


图 9.5-5 


图 2 
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3. 名 称 相同 


如 果 对 象 的 名 称 相同 ， 则 两 个 对 象 都 会 被 保留 ， 此 时 标记 值 较 高 的 对 象 名 称 会 维持 原来 
的 名 称 ， 而 标记 值 较 低 的 对 象 名 称 会 被 改 为 : 

物件 的 RDNCNF:。 物件 的 GUID 

例如 在 两 台 域 控制 器 上 同时 新 建 一 个 名 称 相 同 的 用 户 赵 日 光 ， 但 是 分 别 有 不 同 的 属性 设 
置 ， 则 在 两 台 域 控制 器 之 间 进 行 AD DS 数 据 库 复制 后 ， 其 结果 为 图 9-5-6 所 示 两 个 账户 都 被 保 
留 ， 但 其 中 一 个 的 全 名 会 被 改名 。 
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在 AD DS 内 有 一 些 数据 的 维护 与 管理 是 由 操作 主机 〈operations master) 来 负责 的 ， 作 为 
系统 管理 员 必须 彻底 了 解 它 们 ， 以 便 能 够 充分 掌控 与 维持 域 的 正常 工作 。 
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操作 主机 概述 
操作 主机 的 放置 优化 

找 出 扮演 操作 主机 角色 的 域 控制 器 
转移 操作 主机 角色 

夺取 操作 主机 角色 
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10.1 操作 主机 概述 


AD DS 数 据 库 内 绝 大 部 分 数据 的 复制 是 采用 多 主机 复制 模式 (multi-master replication 
model) ， 也 就 是 可 以 直接 更 新 任何 一 台 域 控制 器 内 绝 大 部 分 的 AD DS 对 象 ， 之 后 这 个 对 象 会 
被 自动 复制 到 其 他 域 控制 器 。 

然而 有 少 部 分 数据 的 复制 是 采用 单 主 机 复制 模式 〈single-master replication model) 。 在 
此 模式 下 ， 当 提出 变更 对 象 的 请 求 时 ， 只 会 由 其 中 一 台 被 称 为 操作 主机 的 域 控 制 器 负责 接收 与 处 
理 此 请 求 ， 也 就 是 说 该 对 象 是 先 被 更 新 在 这 台 操作 主机 内 ， 再 由 它 将 其 复制 到 其 他 域 控制 器 。 

Aetive Directory 域 服务 《AD DS) 内 总 共有 5 个 操作 主机 角色 : 
架构 操作 主机 ( schema operations master ) 

城 命名 操作 主机 ( domain naming operations master ) 
RID 操 作 主 机 (Telative identifier operations master ) 
PDC 模 拟 器 操作 主机 (PDC emulator operations master ) 
基础 结构 操作 主机 【infrastructure operations master ) 


-个 林 中 只 有 一 台 架 构 操 作 主 机 与 一 台 域 命名 操作 主机 ， 这 两 个 林 级 别 的 角色 默认 都 是 
由 林 根 域内 的 第 一 台 域 控制 器 所 扮演 。 而 每 一 个 域 拥有 自己 的 RID 操 作 主机 、PDC 模 拟 器 操作 
主机 与 基础 结构 操作 主机 ， 这 3 个 域 级 别 的 角色 默认 是 由 该 域内 的 第 一 台 域 控制 器 所 扮演 。 


1. 操作 主机 角色 ( operations master roles ) 也 被 称 为 fexible single master operations 
( FSMO ) roles。 


32， 只 读 域 控制 器 ( RODC ) 无 法 扮演 操作 主机 的 角色 。 _ 


10.1.1 架构 操作 主机 


扮演 架构 操作 主机 角色 的 域 控 制 器 ， 负 责 更 新 与 修改 架构 〈schema) 内 的 对 象 种 类 与 属 
性 数据 。 隶 属于 Schema Admins 组 内 的 用 户 才 有 权限 修改 架构 。 一 个 林 中 只 可 以 有 一 人 台 架 构 
操作 主机 。 


10.1.2， 域 偷 名 操作 主机 
扮演 域 命名 操作 主机 角色 的 域 控 制 器 ， 负 责 林 内 域 目录 分 区 的 新 建 与 三 除 ， 也 就 是 负责 
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林内 的 域 新 建 与 出 除 工作 。 它 也 负责 应 用 程序 目录 分 区 的 新 建 与 出 除 。 一 个 林 中 只 能 有 一 台 
域 命名 操作 主机 。 


10:1.3，RID 操 作 主 机 


每 一 个 域内 只 可 以 有 一 台 域 控制 器 来 扮演 RID 操 作 主 机 和 角色， 而 其 主要 的 工作 是 发 放 
RID (relative ID) 给 其 域内 的 所 有 域 控制 器 。RID 有 什么 用 途 呢 ? 当 域 控制 器 内 新 建 了 一 个 
用 户 、 组 或 计算 机 等 对 象 时 ， 域 控制 器 需要 分 配 一 个 唯一 的 安全 标识 符 〈SID ) 给 这 个 对 
象 ， 此 对 象 的 SID 是 由 域 SID 与 RID 所 组 成 的 ， 也 就 是 说 对 银 SID = 域 SID + RID， 而 RID 并 不 
是 由 每 一 台 域 控制 器 自己 产生 的 ， 它 是 由 RID 操 作 主机 来 统一 发 放 给 其 域内 的 所 有 域 控制 
器 。 每 一 台 域 控制 器 需要 RID 时 ， 它 会 向 RID 操 作 主 机 索取 一 些 RID， 这 些 RID 用 完 后 再 向 
RID 操 作 主机 索取 。 

由 于 是 由 RID 操 作 主机 来 统一 发 放 RID， 因 此 不 会 有 RID 重 复 的 情况 发 生 ， 也 就 是 每 一 台 
域 控制 器 所 获得 的 RID 都 是 唯一 的 ， 因 此 对 象 的 SID 也 是 唯一 的 。 如 果 是 由 每 一 台 域 控制 器 各 自 
产生 RID 的 话 ， 则 可 能 不 同 的 域 控制 器 会 产生 相同 的 RID， 因 而 会 有 对 象 SID 重 复 的 情况 发 生 。 


10.1.4，PDC 模 拟 器 操作 主机 


每 一 个 域内 只 可 以 有 一 台 域 控制 器 来 扮演 PDC 模 拟 器 操作 主机 和 角色， 而 它 所 负责 的 工作 有 : 


匀 支持 旧 客 户 端 计算 机 : 例如 用 户 在 域内 的 旧 客 户 端 计算 机 【例如 Windows NT 4.0) 
上 和 更改 密 码 时 ， 这 个 密码 信息 会 被 更 新 在 PDC ( primary domain controller ) 上 ， 而 
AD DS 通 过 PDC 模 拟 器 操作 主机 来 扮演 PDC 的 角色 。 

久 减 少 因为 密码 复制 延迟 所 造成 的 问题 ; 当 用 户 的 密码 更 改 后 ， 需 要 一 点 时 间 这 个 密 
码 才 会 被 复制 到 其 他 所 有 的 域 控制 器 。 如 果 在 这 个 密码 还 没有 被 复制 到 其 他 所 有 域 
控制 器 之 前 ， 用 户 利用 新 密码 登录 ， 则 可 能 会 因为 负责 检查 用 户 密 码 的 城 控制 器 内 
还 没有 用 户 的 新 密码 数据 ， 因 而 无 法 成 功 登 录 。 

AD DS 采 用 以 下 方法 来 减少 这 个 问题 发 生 的 概率 : 当 用 户 的 密码 更 改 后 ， 这 个 密码 
会 优先 被 复制 到 PDC 模 拟 器 操作 主机 ， 而 其 他 域 控制 器 仍然 是 依照 常规 复制 程序 ， 
也 就 是 需要 等 一 段 时 间 后 才 会 收 到 这 个 最 新 的 密码 。 如 果 用 户 登 录 时 ， 负 责 验证 用 
户 身份 的 域 控制 器 发 现 密码 不 对 时 ， 它 会 将 验证 身份 的 工作 转发 给 拥有 新 密码 的 
PDC 棋 拟 器 操作 主机 ， 以 便 让 用 户 可 以 成 功 登录 。 

鸟 负责 整个 域 时 间 的 同步 : 域 用 户 登 录 时 ， 如 果 其 计算 机 时 间 与 域 控制 器 不 一 致 的 
话 ， 将 无 法 登录 ， 而 PDC 横 拟 器 操作 主机 就 是 负责 整个 域内 所 有 计算 机 时 间 的 同步 
工作 。AD DS 的 时 间 同 步 程序 请 参考 图 10-1-1: 

画 图 中 林 根 域 sayms,local 的 PDC 横 拟 器 操作 主机 DC1 默 认 是 使 用 本 地 计算 机 时 间 ， 
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但 也 可 以 将 其 设置 为 与 外 部 的 时 间 服务 器 同步 。 


晶 所 有 其 他 域 的 PDC 模 拟 器 操作 主机 的 计算 机 时 间 会 自动 与 林 根 域 sayms,local 内 的 


了 PDC 横 拟 器 操作 主机 同步 ， 例 如 图 中 的 DC2、DC4、DC5、DC6 会 与 DC1 同 步 。 


时 各 域内 的 其 他 域 控制 器 都 会 自动 与 该 域 的 PDC 横 拟 器 操作 主机 时 间 同 步 ， 例 如 


DC3 会 与 DC2 同 步 。 


量 域内 的 成 员 计 算 机 会 与 验证 其 身份 的 域 控制 器 同步 ， 例 如 图 中 sh.sayms,local 内 容 


户 端 计算 机 会 与 DC3 同 步 。 


由 于 林 根 域 sayms,local 内 PDC 模 拟 器 操作 主机 的 计算 机 时 间 会 影响 到 林内 所 有 计算 机 的 


时 间 ， 因 此 请 确保 此 人 台 PDC 模 拟 器 操作 主机 的 时 间 正确 性 。 


他 川 林 地 计 竺 机 时 间 惑 作 几 
(4 保 四 间 用 务 中 同 纱 -ED 于 间 服 务 各 


SS 


网 
吕 一 


窜 户 交 


的 
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我 们 可 以 利用 w32tm /query /Source 命 令 来 查看 时 间 同 步 的 设置 ， 例 如 林 根 域 sayms.local 
的 PDC 模 拟 器 操作 主机 DC1 默 认 是 使 用 本 地 计算 机 时 间 ， 如 图 10-1-2 所 示 的 Local CMOS 
Clock〈 如 果 是 HyperV 虚 拟 机 的 话 ， 则 会 显示 VM IC Time Synchronization Provider， 除 非 取 


消 虚拟 机 的 集成 服务 中 的 时 间 同 步 ) 。 


辐 守 理 员 : Windows PowerShell 全 二 于 -起 


图 1012 


281 转 


而 画 Windows Server 2016 Active Directory 配置 指南 


如 果 要 将 其 改 为 与 外 部 时 间 服 务 器 同步 的 话 ， 可 执行 以 下 命令 《参考 图 10-1-3) ， 

二 2tm yconfig /manialpeerlist:mtime.windows.com time.nhist.goy time-hw.nist。 
govm 1syncEEomflags:manual /reliableiyes /upaate 

此 命令 被 设置 成 可 与 3 台 时 间 服 务 器 (time.windows.com 、timenistgov 与 time- 


nwnistgov) 同步 ， 服 务 器 的 DNS 主机 名 之 间 使 用 空格 来 晤 开 ， 同 时 利用 "符号 将 这 些 服务 器 
框 起 来 。 


图 10-13 


客户 端 计 算 机 也 可 以 通过 w32tm /query /configuration 命 令 来 查看 时 间 同 步 的 设置 ， 而 我 
们 可 以 从 此 命令 的 结果 界面 〈 参 考 图 10-1-4) 的 Type 字段 来 判断 此 客户 端 计 算 机 时 间 的 同步 
方式 ; 


ED 


未 加 入 域 的 客户 端 计算 机 可 能 需要 先 启 动 Windows Time 服 务 ， 再 来 执行 上 述 程序 ， 而 
且 必 须 以 系统 管理 员 的 身份 来 执行 此 程序 。 


匀 NoSyne: 表示 客户 端 不 会 同步 时 间 。 

旬 NTP: 表示 客户 端 会 从 外 部 的 时 间 服 务 器 来 同步 ， 而 所 同步 的 服务 器 会 显示 在 图 中 
NtpServer 字 段 ， 例 如 图 中 的 time,.windows.com 

外 NTSDS: 表示 客户 端 是 通过 前 面 图 10-1-1 的 域 架构 方式 来 同步 时 间 。 

浊 AllSynec: 表示 客户 端 会 选择 所 有 可 用 的 同步 机 制 ， 包 含 外 部 时 间 服 务 器 与 域 架 构 方 
式 。 


王 千 理 员 ; Windows PowerShell 一 鞭 关 


net time /querysntp 命 令 ， 不 过 其 所 显示 的 


贺 2 
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如 果 客 户 端 计算 机 是 通过 图 10-1-1 域 架构 方式 来 同步 时 间 的 话 ， 则 执行 w32tm /query 
/configuration 命 令 后 的 Type 字段 为 如 图 10-1-5 所 示 NT5DS。 也 可 以 通过 如 图 10-1-6 所 示 的 
w32tm /query /source 命 令 来 得 知 其 当前 所 同步 的 时 间 服 务 器 ， 例 如 图 中 的 dcl.sayrms.local， 
它 就 是 前 面 图 10-1-1 中 域 sayms.local 的 PDC 。 


三 至 理 员 : Windows PowerShelr 二 - 健 二 第 


图 10-1-5 


时 间 同 步 所 使 用 的 通信 协议 为 SNTP ( Simple Network Time Protocol ) ， 其 端口 号 码 为 
UDP 123。 


未 加 入 域 的 计算 机 ， 其 时 间 默 认 会 自动 与 微软 的 时 间 服 务 器 time.windows.com 同 步 ， 如 
果 要 更 改 此 设置 或 执行 手动 同步 的 话 ， 以 Windows 10 计 算 机 来 说 ， 可 以 在 此 计算 机 上 【 按 
田 + 图 键 2 输入 control 后 按 项 辆 刍 2 单 击 时 钟 和 区 域 3 单 击 日 期 和 时 间 马 如 图 10-1-7 所 示 单 击 
Internet 时 间 选 项 卡 纪 单 击 茵 疯 加 图 按钮 2 通过 前 景 图 来 设置 】， 图 中 可 通过 二 细 炙 近 钮 
来 立即 同步 时 间 。 域 成 员 计 算 机 或 未 加 入 域 的 计算 机 都 可 以 利用 w32tmyresyne 命 令 来 手动 同步 。 


址 BIDI 本 X 


日 有 网 了 0 种 Internet 时 间 


机 没 年 为 自动 与 -ime windows com/ 同 几 . 
硬 


过 Imernet 呈 本 2 和 X 

mernet 时 间 本 

问 三 micrnet 时 有 务 四 同 (5 
| 

计时 和 已 计 为 二 贡 纺 - 


图 10-17 


10.1.5 “基础 结构 操作 主机 


每 一 个 域内 只 能 有 一 台 域 控制 器 来 扮演 基础 结构 操作 主机 的 角色 。 如 果 域内 有 对 象 参 考 
到 其 他 域 的 对 象 时 ， 基 础 结构 操作 主机 会 负责 更 新 这 些 参考 对 象 的 数据 ， 例 如 本 域内 有 一 个 
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组 的 成 员 包含 另外 一 个 域 的 用 户 账户 ， 当 这 个 用 户 账户 发 生变 动 时 ， 基 础 结构 操作 主机 便 会 
负责 更 新 这 个 组 的 成 员 信 息 ， 并 将 其 复制 到 同一 个 域内 的 其 他 域 控制 器 。 

基础 结构 操作 主机 是 通过 全 局 编 录 服务 器 来 得 到 这 些 参考 数据 的 最 新 版 本 ， 因 为 全 局 编 
录 服 务 器 会 收 到 由 每 一 个 域 所 复制 的 最 新 变动 信息 。 


10.2 ”操作 主机 的 放置 优化 


为 了 提高 运行 效率 、 减 轻 系统 管理 的 负担 与 减少 问题 发 生 的 概率 ， 因 此 如 何 适 当地 放置 
操作 主机 便 成 为 不 可 忽视 的 课题 。 


10.2.1 基础 结构 操作 主机 的 放置 


由 于 基础 结构 操作 主机 与 全 局 编 录 并 不 兼容 ， 因 此 请 勿 将 基础 结构 操作 主机 放置 到 全 局 
编 录 服务 器 上 ， 除 非 是 以 下 的 情况 ; 
外 所 有 的 域 控制 器 都 是 “全 局 编 录 服务 器 ”: 由 于 全 局 编 录 服务 器 会 收 到 由 每 一 个 域 所 复 
制 来 的 最 新 变动 信息 ， 故 此 时 由 哪 一 台 域 控制 器 来 扮演 基础 结构 操作 主机 都 无 所 谓 。 
当 只 有 一 个 域 ; 如 果 整 个 林 中 只 有 一 个 域 ， 则 基础 结构 操作 主机 就 没有 作用 了 ， 因 为 
没有 其 他 域 的 对 象 可 供 参 考 ， 此 时 不 需要 理会 基础 结构 操作 主机 是 由 哪 一 台 域 控制 
器 来 扮演 。 
为 了 便于 管理 起 见 ， 建 议 将 域 级 别 的 RID 操 作 主 机 、PDC 模 拟 器 操作 主机 与 基础 结构 操 
作 主 机 都 放置 到 同一 台 域 控制 器 上 。 


10.2.2”PDC 模 拟 器 操作 主机 的 放置 


PDC 模 拟 器 操作 主机 经 常 需要 与 网 络 上 其 他 系统 通信 ， 它 的 负担 比 其 他 操作 主机 重 ， 因 
此 这 人 台 计 算 机 的 设备 性 能 应 该 要 最 好 、 最 稳定 ， 以 确保 能 够 应 付 比 较 繁 重 的 负担 与 提供 比较 
高 的 可 用 性 。 

如 果 要 降低 PDC 模 拟 器 操作 主机 负载 的 话 ， 可 以 在 DNS 服务 器 内 调 它 的 权重 
(weight) 。 当 客户 端 需要 查找 域 控制 器 来 验证 用 户 身份 时 ， 客 户 端 会 向 DNS 服务 器 查询 域 
控制 器 ， 而 DNS 服务 器 会 将 客户 端 导向 〈refer to) 到 指定 的 域 控制 器 ， 由 这 人 台 域 控制 器 来 负 
责 验证 用 户 身份 ， 由 于 所 有 域 控 制 器 默认 的 权重 值 是 相同 的 《100) ， 因 此 每 一 台 域 控制 器 
被 导向 的 概率 是 相同 的 。 如 果 将 PDC 模 拟 器 操作 主机 的 权重 值 降低 的 话 ， 例 如 降 为 一 半 
(50) ， 则 客户 端 被 导向 到 这 人 台 PDC 模 拟 器 操作 主机 的 概率 就 会 降低 一 半 ， 如 此 便 可 以 降低 
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它 的 负载 。 


假设 PDC 模 拟 器 操作 主机 为 de1.sayms.local， 而 要 降低 其 权重 值 的 话 : 【打开 DNS 管理 控 
制 台 人 如 图 10-2-1 所 示 展 开 到 区 域 sayms.local 之 下 的 tcp 文件 夹 双 击 右 侧 的 dc1.sayms.local 了 
修改 图 10-2-2 中 的 权重 值 】。 
访 DNS 名 要 汪 


六 直 们 有 人 (下 本 MI 时 了 
如 哮 | 为 甸 | 其 辐 导 | 目 品 让 局 末 


JaloolB26al dcz.。 201877121 


MI aymslocal 
本 务 (Sh idap 

协议 Ph icp 

人 和 朋 (OF 机 

某 QS(N): 389 

损 供 此 服务 的 主机 (H- 
Gaamaee 


图 1022 


10.2.3” 宁 级 别 操 作 主 机 的 放置 


林 中 第 一 台 域 控制 器 会 自动 扮演 林 级 别 的 架构 操作 主机 与 域 命 名 操作 主机 的 角色 ， 它 同 
时 也 是 全 局 编 录 服 务 器 。 这 两 个 角色 并 不 会 对 域 控制 器 造成 太 大 负担 ， 它 们 也 与 全 局 编 录 莱 
容 ， 而 且 即 使 将 这 两 个 角色 移动 到 其 他 域 控制 器 也 不 会 改善 运行 性 能 ， 因 此 为 了 便于 管理 与 
执行 备份 、 还 原 工作 ， 建 议 将 这 两 个 角色 继续 保留 由 这 人 台 域 控制 器 来 扮演 。 


10.2.4” 域 级 别 操作 主机 的 放置 


每 一 个 域内 的 第 一 台 域 控制 器 会 自动 扮演 域 级 别 的 操作 主机 ， 而 以 林 根 域 中 的 第 一 台 域 
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控制 器 来 说 ， 它 同时 也 扮演 两 个 林 级 别 与 3 个 域 级 别 的 操作 主机 ， 同 时 也 是 全 局 编 录 服务 
器 ， 不 过 因为 其 中 的 基础 结构 操作 主机 与 全 局 编 录 并 不 兼容 ， 因 此 除非 所 有 域 控制 器 都 是 全 
局 编 录 服务 器 或 林 中 只 有 一 个 域 ， 知 则 请 将 基础 结构 操作 主机 的 角色 转移 到 其 他 城 控制 器 ， 
如 前 所 述 ， 为 了 便于 管理 起 见 ， 请 将 RID 操 作 主机 与 PDC 模 拟 器 操作 主机 也 一 并 转移 到 这 人 台 
域 控制 器 。 

除了 林 根 域 之 外 ， 其 他 域 请 将 3 台 域 级 别 操作 主机 保留 由 第 一 台 域 控制 器 来 扮演 ， 但 不 要 
人 除非 所 有 域 控制 器 都 是 全 局 编 录 服务 器 或 林 中 只 有 
一 个 域 。 除 非 工作 负担 太 重 ， 否 则 请 尽量 将 这 3 个 操作 主机 交 由 同一 台 域 控制 器 来 扮演 ， 以 减 
轻 管理 负载 。 


10.3 ” 找 出 扮演 操作 主机 角色 的 域 控制 器 


在 建立 AD DS 域 时 ， 系 统 会 自动 选择 域 控制 器 来 扮演 操作 主机 ， 我 们 将 在 本 季 介绍 如 何 
找 出 扮演 操作 主机 的 域 控 制 器 。 


10.3.1 利用 管理 控制 台 找 出 扮演 操作 主机 的 域 控制 器 
不 同 的 操作 主机 角色 可 以 利用 不 同 的 Active Direetory 管 理 控制 台 来 检查 ， 如 表 10-3-1 所 示 。 


表 10-3-1 
角色 管理 控制 台 
架构 操作 主机 Active Directory 架 构 
域 褒 名 操作 主机 Active Directory 域 和 信任 关系 
RID 操 作 主 机 Active Directory 用 户 和 计算 机 
PDC 模 拟 器 操作 主机 Active Directory 用 户 和 计算 机 
基础 结构 操作 主机 Active Directory 用 户 和 计算 机 


1 找 出 架构 操作 主机 
我 们 可 以 利用 Active Directory 架 构 控制 台 来 找 出 当前 扮演 架构 操作 主机 角色 的 域 控 制 器 。 


STEP 税 。 请 到 域 控制 器 上 登录 、 注 册 schmmgmt.dll， 才 可 使 用 Active Directory 架 构 控 制 合 ， 贡 
果 尚 未 注册 schmmgmt.dll 的 话 ， 请 先 执行 以 下 命令 : 


Tegsvr32 sehrmgmt.dl 工 
并 在 出 现 登 录 成 功 界面 后 ， 再 继续 以 下 的 步骤 。 
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STEP 回 。 技 田 + 国 键 2 输入 MMC 后 单 击 基 是 按钮 3 单 击 文件 菜单 2 添加 /删除 管理 单元 2 在 图 
10-3-1 中 选择 Active Direetory 架 构 2 单 击 添 曾 按钮 2 单 击 策划 按钮 。 


图 103-1 


STEP 回 。 如 图 10-3-2 所 示 【 选 中 Acetive Direcetory 损 构 并 右 击 3 操作 主机 】 。 


芍 裕 M 和 1 - 上 制 和 视点 Wctive Directory 要 构 dcl saymsjoca 由 二 /Bi 沉 
属 文 # 介 。 担 fEUA)， 查看 (V) 收藏 灵 D)， 赣 DW) 本 (H) 
4 中 | 十 癌 | 加 已 | 目 耐 

ER IE 

六 Actve Diertom 梨 购 idclaaymskl 于 学 


一 


图 103-2 
STEP 从 图 10-3-3 可 知 架 构 操 作 主机 为 dc1.sayms.local。 


更 改 和 构 主机 X 


三 构 主机 管理 对 架构 的 修改 。 在 企业 中 只 有 一 台 服 务 串 担任 此 角色 


若 要 将 弟 构 主机 角色 转换 到 以 下 目标 染 构 FSMO 
会 , 请 单 去 更改" 


LE 
|actsaymslocal 


图 1033 
2. 找 出 域 命名 操作 主机 


找 出 当前 扮演 域 命名 操作 主机 角色 的 域 控制 器 的 方法 为 : 【 单 击 左下 角 开 始 图 标 
田 2Windows 管 理工 具 2Active Directory 域 和 信任 关系 3 如 图 10-3-4 所 示 选 中 Acetive Directory 
域 和 信任 关系 并 右 击 幻 操作 主机 礼 从 前 景 图 可 知 域 命名 操作 主机 为 dc1.sayms.local】。 
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曾 Actve Direqory 训 和 合作 天 也 3 
文件 旧 。 一 fFA) 于 看 (V) 帮助 (H) | 报 作 主机 藉 


和 中 | 半 | 国 区 上 | 目 癌 
| DER 总 站 居 全 兴 汪 | | 城 全 名 提 作 二 机 傅 你 二 是 叭 的， 在 企业 中 只 有 一 个 Active Directory 城 
末 Acive Disdorv ERFFX 阁 | 和 本 答 汪 直人 。 


3. 找 出 RID、PDC 模拟 器 与 基础 结构 操作 主机 


找 出 当前 扮演 这 3 个 操作 主机 角色 的 域 控制 器 的 方法 为 : 【 单 击 左下 角 开 始 图 标 

困 QWindows 管理 工具 3Acetive Directory 用 户 和 计算 机 马 如 图 10-3-5 所 示 选 中 域名 

(sayms.local) 并 右 击 纺 操作 主机 纪 从 前 景 图 可 知 RID 操 作 主 机 为 dc1.sayms.local】， 还 可 以 
从 图 中 的 PDC 与 基础 结构 选项 卡 来 得 知 扮演 这 两 个 角色 的 域 控制 器 。 


了 seine pyeaor 有 PH 3 
mn 


10.3.2 ”利用 命令 找 出 扮演 操作 主机 的 域 控制 器 


可 以 打开 Windows PowerShell 窗 口 ， 然 后 通过 执行 netdom query 全 mo 命令 来 查看 扮演 操作 
主机 角色 的 域 控制 器 ， 如 图 10-3-6 所 示 。 


图 103-6 
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也 可 以 在 Windows PowerShell 窗 口内 ， 通 过 执行 以 下 的 GetrADDomain 命 令 来 查看 扮演 域 
级 别 操作 主机 角色 的 域 控制 器 《〈 参 考 图 10-3-7) 。 


Get-ADDomain Sayms,Iocal | PT PDCEmulator/RIDMaster, InfrastructureMasteT 


或 是 通过 执行 以 下 的 Get-ADForest 命 令 来 查看 扮演 林 级 别 操作 主机 角色 的 域 控制 器 〈 参 
考 图 10-3-7) 。 


Get-RDFOFest Sayms ,local |ET ScHemaMaster,DomainNamingMaster 


雷 车 理 员 : Windows PowerShell 


10.4 ”转移 操作 主机 角色 


在 建立 AD DS 域 时 ， 系 统 会 自动 选择 域 控制 器 来 扮演 操作 主机 ， 而 在 要 将 扮演 操作 主机 
角色 的 域 控制 器 降级 为 成 员 服务 器 时 ， 系 统 也 会 自动 将 其 操作 主机 角色 转移 到 另外 一 台 适 当 
的 域 控制 器 ， 因 此 在 大 部 分 的 情况 下 ， 并 不 需要 自行 转移 操作 主机 角色 。 

不 过 有 时 可 能 需要 自行 转移 操作 主机 角色 ， 例 如 域 架构 更 改 或 原来 扮演 操作 主机 角色 的 
域 控制 器 负载 太 重 ， 而 想 要 将 其 转移 到 另外 一 台 域 控制 器 ， 以 便 降 低 原 操作 主机 的 负载 。 

请 在 将 操作 主机 角色 安全 转移 到 另外 一 台 域 控制 器 之 前 ， 先 确定 两 台 域 控制 器 都 已 经 连 
上 网 络 、 可 以 相互 通信 ， 同 时 操作 用 户 必须 是 隶属 于 表 10-4-1 中 的 组 或 被 委派 权限 ， 才 有 权 
执行 转移 的 工作 。 


表 10-4-1 
角色 有 权限 的 组 
架构 操作 主机 Schema Admins 
域 命名 操作 主机 Enterprise Admins 


RID 操 作 主 机 


Domain Admins 


PDC 模 拟 器 操作 主机 


Domain Admins 


基础 结构 操作 主机 


Domain Admins 
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在 执行 安全 转移 操作 之 前 ， 请 注意 以 下 事项 : 


沁 转移 角色 的 过 程 中 并 不 会 有 数据 丢失 ; 

下 可 以 将 林 级 别 的 架构 操作 主机 与 域 命名 操作 主机 转移 到 同一 个 林 中 的 任何 一 台 域 控 
制 器 ; 

外 可 以 将 域 级 别 的 RID 操 作 主 机 与 PDC 模 拟 器 操作 主机 转移 到 同一 个 域 中 的 任何 一 台 
域 控 制 器 ; 

匀 不 要 将 基础 结构 揉 作 主 机 转移 到 兼 具 全 局 编 录 服务 器 的 域 控制 器 ， 除 非 所 有 域 控制 
器 都 是 全 局 编 录 服务 器 或 林 中 只 有 一 个 域 。 


10.4.1 “利用 管理 控制 台 
转移 任何 一 种 操作 主机 的 步骤 都 类 似 ， 因 此 以 下 利用 转移 PDC 模 拟 器 操作 主机 为 例 来 说 
明 ， 并 且 假设 要 将 PDC 模 拟 器 操作 主机 由 dc1.sayms.local 转 移 到 dc2,sayms ,local。 
STEP 贺 单 击 左下 角 开 始 图 标 田 23Windows 管理 工具 3Aetive Direetory 用 户 和 计算 机 。 
转移 PDC 模 拟 器 操作 主机 、RID 操 作 主机 与 基础 结构 操作 主机 都 是 使 用 Active Directory 


用 户 和 计算 机 控制 合 ， 而 转移 架构 操作 主机 是 使 用 Active Directory 架 构 控制 侣 、 转 移 域 
命名 操作 主机 是 使 用 Active Direetory 域 及 信任 控制 侣 。 


STEP 加 。 如 果 当 前 所 连接 的 域 控制 器 就 是 即将 扮演 操作 主机 的 dc2.sayms,local ( 如 图 10-4-1 所 
示 ) ， 则 请 跳 到 STEP 回 ， 否 则 请 继续 以 下 的 步骤 。 


瑟 Amive Dieciory 用 户 和 计划 机 ss 
文 ## 人 加权 fEIA) 五 在， 和 BMH 

和 中 | 五 而 | 日 | 园 瑟 | 加 辐 | 马 久 吕 了 书生 

可 Ace predoy 用 PEECeymoocD | 2 带 [ 了 


:保本 的 查询 商 Buiin builinpomain 

”高 smalocal 导 computers 。 写 和 Default containe 
》 司 Buin 通 Domein co 组 位 Defeuktcontaina 
一 CE 阐 Foreignsec 写本 Detauh containe 


>》 型 Domain Controllers 


，》 国 Foreignsecuriyprincipals ss Das 
| _， 汉 Manaoed serics Aceowags ea  ， 
图 104-1 


STEP 图 ”如 图 10-4-2 所 示 【 选 中 Active Directory 用 户 和 计算 机 并 右 击 2 更 改 域 控制 器 】 ( 目前 
所 连接 到 的 域 控制 器 为 del.sayms.local ) 。 


STEP 四 


STEP 旧 


STEP 回 
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下 


也 Active Direcory 用 户 和 H 算 机 sr 有 要 
六 HP SEN 下 是 wm ee 二 
和 哆 | 园 | 加 时 | 四 四 | 马扎 入 畦 昌 久 
了 Aaive Dieaory 用 庆 和 各 机 dclsaymslocsl ^]| 名 你 二 RE 
》 二 保生 的 查询 保 主 人 kx 三 的 | 
v 鲍 saymsjocal 

> 男 Buihin 

六 二 Compuaers 上 


图 1042 


在 图 10-4-3 中 选择 即将 扮演 操作 主机 角色 的 域 控制 器 de2.saymsJocal 后 单 击 革 全 扩 钮 


图 1043 


如 图 10-4-4 所 示 【 选中 域名 sayms.local 并 右 击 人 操作 主机 】 。 


本 Acive Directory 用 户 和 计算 机 
_ 广 林肯 者 fRA) 要 淄 J。 帮助 (H) ee 
和 哆 | 由 厨 | 自 | 国 训 时 | 回 硬 | 马 六 久 平 忆 色 


翌 Acive Diredon 用户 和 i 计 算 IK[dc2.saymslocal | 名称 
》 辐 保 和 的 查询 国 Buin 
旋 呈 SS 出 compuiers。 窜 归 
和 国 pomain co ”组织 单位 
查找 0) 由 Foreignsec， 窑 吉 
更 改 屿 [D)- 罚 Managed S- 容器 
更 改 域 这 制 器 ( 〇 -. 恒 ucers 
提升 姑 功 能 受 弄 (A)- 国 
CE < 
[文件 夫 的 关 丙 。r 


图 1044 


如 图 10-4-5 所 示 【 单 击 PDC 选 项 卡 纺 确认 当前 所 连接 的 域 控制 器 是 dc2.sayms.local3 单 


击 要 台 拉 钮 2 单 击 荆 [ 避风 拉锯 > 单 击 甘 才 扩 钮 ] 。 
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图 10-4.5 
STEP 加 从 图 10-4-6 中 可 以 确定 已 成 功 将 操作 主机 转移 到 dc2.sayms.locale 


强 作 主机 划 关 
RID 。” PDC 。 基础 构 

担 作 主机 为 Windows 2000 以 前 版 本 的 客 产 读 模 拟 主 域 入 制 加 的 功能 ， 域 中 只 
有 一 台 服务 串 担 任 此 角色 


10.4.2 ”利用 Windows PowerShell 命 令 


单 击 左 下 角 开 始 图 标 因 QWindows PowerShell ， 然 后 通过 执行 命令 Move- 
ADDirectoryServerOperationMasterRole 来 转移 操作 主机 角色 。 例 如 要 将 PDC 模 拟 器 操作 主 
机 转移 到 dc2.sayms.local 的 话 ， 请 执行 以 下 命令 后 按 圆 键 或 图 键 〈 参 考 图 10-4-7) : 


Move-RADDirectoryServerOperationMasterRole -Identity "DC2" - 


OperationMasterRole ”PDCEmu]lator 


坷 管理 员 : Windows powerShell 
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如 果 要 转移 其 他 角色 的 话 ， 只 要 将 PDCEmulator 字 样 换 成 RIDMaster 、 
InfrastructureMaster、SchemaMaster 或 DomainNamingMaster 即 可 。 

如 果 要 一 次 同时 转移 多 个 角色 的 话 ， 例 如 同时 将 PDC 模 拟 器 操作 主机 与 基础 结构 操作 主 
机 转移 到 dc2.sayms,local 的 话 ， 请 输入 以 下 命令 角色 名 称 之 间 以 逗号 隔 开 ) 后 按 图 键 ， 


Move-aRDDirectoryServerOpPeratiornMasterRole -Identity "DC2n 一 
DOperationMasterRole PDCEmulator，，InfrastructUreMaster 


这 些 角 色 也 可 以 利用 数字 来 代表 ， 如 表 10-4-2 所 示 。 


表 10-4-2 
操作 主机 代表 号 码 
PDC 模 拟 器 操作 主机 0 
RID 操 作 主 机 1 
基础 结构 操作 主机 2 
架构 操作 主机 3 
域 命名 操作 主机 4 


此 ， 如 果 要 将 所 有 操作 主机 都 转移 到 dc2.sayms ,local 的 话 ， 可 执行 以 下 指令 后 按 图 键 ; 


Move-aDDirectoryServerOperationMasterRole -Identity "DC2n 一 
OperacionMasterRole 0 1727374 


10.5 ”夺取 操作 主机 角色 


若 扮演 操作 主机 角色 的 域 控制 器 发 生 故 障 或 网 络 有 问题 时 ， 则 可 能 需要 采用 夺取 
(Cseize， 拿 取 ) 方式 来 将 操作 主机 角色 强迫 转移 到 另外 一 台 域 控制 器 。 


只 有 在 无 法 安全 转移 的 情况 下 ， 才 使 用 夺取 的 方法 。 由 于 夺取 是 非常 的 手段 ， 因 此 请 确 
认 有 其 必要 性 后 ， 再 执行 夺取 的 步骤 。 


10.5.1 操作 主机 停摆 所 造成 的 影响 


有 的 操作 主机 发 生 故 障 时 ， 短 时 间 内 就 会 对 网 络 造成 明显 的 影响 ， 然 而 有 的 却 不 会 ， 
此 请 参考 以 下 说 明 来 决定 是 否 要 尽快 夺取 操作 主机 角色 。 
由 于 新 操作 主机 是 根据 其 中 的 AD DS 数 据 库 来 运作 ， 因 此 为 了 减少 数据 丢失 ， 请 在 执行 
夺取 步骤 之 前 等 一 段 足 够 的 时 间 《〈 至 少 等 所 有 域 控制 器 之 间 完 成 一 次 AD DS 复 制 所 需 的 时 
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间 ) ， 让 这 人 台 即 将 成 为 新 操作 主机 的 域 控制 器 完整 接收 到 从 其 他 域 控制 器 复制 的 异动 数据 。 
由 于 夺取 操作 主机 时 并 未 与 原 操作 主机 沟通 协调 ， 因 此 一 旦 夺取 铝 作 主机 角色 后 ， 请 不 

要 再 启动 原 扮演 操作 主机 角色 的 域 控制 器 ， 否 则 会 出 现 两 台 域 控制 器 都 各 自 认为 是 操作 主 

机 ， 因 而 会 影响 到 AD DS 的 运作 -。 


一 旦 架构 操作 主机 、 域 命名 操作 主机 或 RID 操 作 主 机 的 角色 被 村 取 后 ， 请 永远 不 要 将 原 
来 扮演 这 些 操作 主机 角色 的 域 控制 器 再 连接 到 网 络 上 ， 否 则 严重 的 话 ， 整 个 AD DS 数 据 
库 可 能 会 损毁 。 建 议 将 这 人 台 域 控制 器 的 硬盘 格式 化 。 


1， 架构 操作 主机 停止 服务 时 


由 于 用 户 并 不 会 直接 与 架构 操作 主机 沟 道 ， 因 此 若 架 构 操 作 主机 暂时 无 法 提供 服务 的 
话 ， 对 用 户 并 没有 影响 ， 而 对 系统 管理 员 来 说 ， 除 非 他 们 需要 存 取 架 构 内 的 数据 ， 例 如 安装 
会 修改 架构 的 应 用 程序 【例如 Microsoft Exchange Server) ， 否 则 也 暂时 不 需要 使 用 到 架构 操 
作 主 机 ， 所 以 请 等 架构 操作 主机 修复 后 重新 上 线 即 可 ， 不 需要 执行 夺取 的 步 观 。 

如 果 架 构 操 作 主机 停 皖 的 时 间 太 久 ， 以 至 于 影响 到 系统 运作 时 ， 则 您 应 该 夺取 操作 主机 
角色 ， 以 便 改 由 另外 一 台 域 控制 器 来 扮演 。 


2. 域 命名 操作 主机 停止 服务 时 


域 命名 操作 主机 暂时 无 法 提供 服务 的 话 ， 对 网 络 用户 并 没有 影响 ， 而 对 系统 管理 员 来 
说 ， 除 非 他 们 要 添加 或 删除 域 ， 否 则 也 暂时 不 需要 使 用 到 域 命名 操作 主机 ， 所 以 请 等 域 命 名 
操作 主机 修复 重新 上 线 即 可 ， 不 需要 执行 夺取 的 步 。 

如 果 域 命名 操作 主机 停止 服务 的 时 间 太 和 久 ， 以 至 于 影响 到 系统 运作 时 ， 则 应 该 夺取 操作 
主机 和 角色 ， 改 由 另外 一 台 域 控制 器 来 扮演 。 


3，RID 操作 主机 停止 服务 时 


RID 操 作 主 机 和 暂时 无 法 提供 服务 ， 对 网 络 用 户 并 没有 影响 ， 而 对 系统 管理 员 来 说 ， 除 非 
他 们 要 在 域内 新 增 对 象 ， 同 时 他 们 所 连接 的 域 控 制 器 之 前 所 索取 的 RID 已 经 用 完 ， 和 否则 也 暂 
时 不 需要 使 用 到 RID 操 作 主机 ， 故 可 以 不 需要 执行 夺取 的 步骤 。 

如 果 RID 操 作 主 机 停止 服务 的 时 间 太 久 ， 以 至 于 影响 到 系统 运作 时 ， 则 您 应 该 夺取 操作 
主机 角色 ， 改 由 另外 一 台 域 控制 器 来 扮演 。 


4 PDC 模拟 器 操作 主机 停止 服务 时 
由 于 PDC 模 拟 器 操作 主机 无 法 提供 服务 时 ， 网 络 用 户 可 能 会 比较 快 察觉 到 ， 例 如 密码 复 
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制 延迟 问题 ， 造 成 客户 端 无 法 使 用 新 密码 来 登入 〈 参 考 章节 10-1 关 于 PDC 模 拟 器 操作 主机 的 
说 明 ) ， 此 时 应 该 尽快 修复 PDC 模 拟 器 操作 主机 ， 若 无 法 在 短期 内 修复 的 话 ， 则 需要 尽快 执 
行 夺取 步骤 。 


5 基础 结构 操作 主机 停止 服务 时 


基础 结构 操作 主机 和 暂时 无 法 提供 服务 的 话 ， 对 网 络 用 户 并 没有 影响 ， 而 对 系统 管理 员 来 
说 ， 除 非 他 们 最 近 搬 移 大 量 账户 或 改变 大 量 账户 的 名 称 ， 否 则 也 不 会 察觉 到 基础 结构 操作 主 
机 已经 停止 服务 ， 所 以 暂时 可 以 不 需要 执行 夺取 的 步骤 。 

若 基础 结构 操作 主机 停止 服务 的 时 间 太 和 久 ， 以 至 于 影响 到 系统 运作 时 ， 则 应 该 夺取 操作 
主机 角色 ， 改 由 另外 一 人 台 不 是 全 局 编 录 服务 器 的 域 控制 器 来 扮演 此 角色 。 


10.5.2 ”夺取 操作 主机 角色 实例 演练 
我 们 利用 以 下 范例 来 解说 如 何 夺 取 操 作 主 机 和 角色， 以便 让 域 能 够 继续 正常 运作 。 


只 有 在 无 法 利用 转移 方法 的 情况 下 ， 才 使 用 夺取 方法 。 你 必须 是 隶属 于 适当 的 组 才 可 以 
执行 夺取 的 操作 ( 参见 表 10-4-1 ) 。 


假设 图 10-5-1 中 只 有 一 个 域 ， 其 中 除了 PDC 模 拟 器 操作 主机 是 由 dc2.sayms.local 所 扮演 之 
外 ， 其 他 4 个 操作 主机 都 是 由 dcl.sayms.local 所 扮演 。 现 在 假设 dc2.sayms.local 这 人 台 域 控制 器 因 
故 永远 无 法 使 用 了 ， 因 此 需要 夺取 PDC 模 拟 器 操作 主机 角色 ， 改 由 另外 一 台 域 控制 器 
dcl1.sayms.local 来 扮演 。 


域 控制 器 
dc2.sayms iocal 


域 控制 器 
dcLsaymsocal 
域 sayms.local 


架构 主机 
域 命 名 主机 
你 取 操 作 主 机 节 色 | PDC 主 机 


RID 主 机 
基础 结构 主机 


图 105-1 
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单 击 左下 角 开 始 图 标 田 3Windows PowerShell， 然 后 跟前 面 转移 角色 一 样 使 用 命令 Move- 
ADDireetoryServerOperationMasterRole， 不 过 要 增加 -Force 参 数 来 夺取 操作 主机 角色 ， 例 
如 以 下 命令 会 夺取 PDC 模 拟 器 操作 主机 ， 并 改 由 dc1.sayms.local 来 扮演 : 

Move-ADDi rectoryServerOperationMasterRole -Identity"DCl"-OperationMasterRole 


PDCEmblator 一 Eorce 


厅 合理 员 : Windows PowerShell 3 
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为 了 维持 域 环境 的 正常 运行 ， 因 此 应 该 定期 备份 AD DS 〈Active Directory 域 服务 ) 的 相 
关 数 据 。 同 时 为 了 保持 AD DS 的 运行 性 能 ， 因 此 也 应 该 充分 了 解 AD DS 数 据 库 。 


系统 状态 概述 

备份 AD DS 

还 原 AD DS 

AD DS 数 据 库 的 移动 与 整理 

重 置 “ 目 录 服 务 修复 模式 ”的 管理 员 密 码 
更 改 “ 可 重新 启动 的 AD DS” 的 注册 表 设置 2 
Active Directory 回 收 站 于 


区 区 区 区 区 长 区 
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11.1 系统 状态 概述 


Windows Server 2016 服 务 器 的 系统 状态 〈system state) 内 所 包含 的 数据 ， 因 服务 器 所 安 
装 的 角色 种 类 而 有 所 不 同 ， 例 如 可 能 包含 着 以 下 的 数据 : 


键 值 

COM+ 类 列 注 册 数 据 库 (Class Registration database ) 

启动 文件 (bootfiles ) 

Active Directory 证 书 服务 ( AD CS ) 数据 库 

AD DS 数 据 库 ( Ntds.dit ) 

SYSVOL 文 件 夹 

群集 服务 信息 

Microsoft Internet Information Services ( US ) metadirectory 
受 Windows Resource Protection 保 护 的 系统 文件 


区 区 区 区 区 区区 区 攻 


11.1.1 AD DS 数 据 库 


AD DS 内 的 组 件 主要 分 为 AD DS 数 据 库 文 件 与 SYSVOL 文 件 夹 ， 其 中 AD DS 数 据 库 文件 
默认 是 位 于 %sysiemrootf%NNTDS 文 件 夹 内 ， 如 图 11-1-1 所 示 。 

ET = 6 
PE := :* mm 日 
四 > 

2 wma 5 2 
上 办 2 问 
四 Mpan na 256。 了 gr 1 
+ 晤 em 局 ar DB11111 2T35 。 文 zz 本 oz4o 
) 本 ma 国 Apoooor oa11 29 昌 sz 机 24 好 
口 Apresopootje 0Va171 2156 As Fe az 由 
口 Apireoooozjr 。。 20tar1n2 人 < Jaz4a kB 
时 Apamp oa 2188 。 > 1oz4 kB 
芒 cdbchk 01B7T121 2226 。 几 旭 的 六 闪现 8 
E onarr1ts 216 。 二 oa 由 
是 edboooo Dans 1447 FRR aa kB 
口 dbreso0ooljr 08IT12159 。 JRS 首 Ma240 KB 
站 eabeeaogozjr 。。 291487112459 。 JRS 坟 件 0240 好 
周 edbtmp 2018171IS 1447 。 文 志 六 二 Jaaa0 KB 
口 masdk te 1032 。 DIT 文 伯 22528NB 
口 mdujm 201am/1623i6 。 JPM 六 人 [1 
口 wempedb 0tarTf2i abg 。 ED 文件 Ga 
5 图 e 
图 T-L-1 


涪 ntds.dit:， AD DS 数 据 库 文件 ， 存 储 着 这 人 台 域 控制 器 的 AD DS 内 的 对 象 。 

浊 edb.log: 它 是 AD DS 事 务 日 志 ( 扩展 名 .log 默 认 会 被 隐藏 ) ， 容 量 大 小 为 10 MB。 当 
要 更 改 AD DS 内 的 对 象 时 ， 系 统 会 先 将 变动 数据 写 入 到 内 存 (RAM ) 中 ， 然 后 等 适当 
时 机 【例如 系统 空 阅 、 关 机 时 等 ) ， 再 根据 内 存 中 的 记录 来 将 更 新 数据 写 入 AD DS 数 
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据 库 (ntds.dit) 。 这 种 先 在 内 存 中 处 理 的 方式 ， 可 提高 AD DS 的 工作 效率 。 

系统 也 会 将 内 存 中 数据 的 变动 过 程 写 到 事务 日 志 内 (edbJlog ) ， 如 果 系 统 不 正常 关机 ( 全 
如 断 电 ) ， 以 至 于 内 存 中 尚未 被 写 入 AD DS 数 据 库 的 更 新 数据 丢失 时 ， 系 统 就 可 以 根据 事 
务 日 志 ， 来 推 莽 出 不 正常 关机 前 ， 在 内 存 中 的 更 新 记录 并 将 这 些 记录 写 入 AD DS 数 据 库 ， 

如 果 事 务 日 志 填 满 了 数据 ， 则 系统 会 将 其 改名 ， 例 如 Edb0000l.log 、 

Edb00002.1og、.……， 并 重新 建立 一 个 事务 日 志 。 

站 edb.chk: 它 是 检查 点 ( checkpoint ) 文件 。 每 一 次 系统 将 内 存 中 的 更 新 记录 写 入 AD 
DS 数 据 库 时 ， 痢 会 一 并 更 新 edb.chk， 它 会 记载 事务 日 志 的 检查 点 。 如 果 系 统 不 正常 
关机 ， 以 至 于 内 存 中 尚未 被 写 入 AD DS 数 据 库 的 更 新 记录 丢失 的 话 ， 则 下 一 次 开机 
时 ， 系 统 便 可 以 根据 edb.chk 来 得 知 需 要 从 事务 日 志 内 的 哪 一 个 变动 过 程 开始 ， 来 推 
算出 不 正常 关机 前 内 存 中 的 更 新 记录 ， 并 将 它们 写 入 AD DS 数 据 库 。 

站 edbres00001,jrs 与 edbres00002.jrs: 这 两 个 是 预 留 文件 ， 未 来 如 果 硬 瘟 的 空间 不 够 时 
可 以 使 用 这 两 个 文件 ， 每 一 个 文件 都 是 10 MB。 


11.1.2 SYSVOL 文 件 夹 


SYSVOL 文 件 夹 是 位 于 %systemroot% 内 ， 此 文件 夹 内 存储 着 以 下 的 数据 : 脚本 文件 
(scripts) 、NETLOGON 共 享 文件 夹 、SYSVOL 共 享 文件 夹 与 组 策略 相关 设置 。 


11.2 备份 AD DS 


应 该 定期 备份 域 控制 器 的 系统 状态 ， 以 便当 域 控制 器 的 AD DS 损 坏 时 ， 可 以 通过 备份 数 
据 来 还 原 域 控制 器 。 


11.2.1 安装 Windows ServerBackup 功 能 


首先 需要 添加 Windows Server Backup 功 能 : 【打开 服务 器 管理 器 纪 单 击 仪表 板 处 的 添加 
角色 和 功能 持续 单 击 请 澳 技 钮 ， 直 到 出 现 如 图 11-2-1 所 示 的 界面 时 勾 选 Windows Server 


Backup 单 击 状 于 扩 钮 、 醒 扩 锯 ] . 
[一 = 
选择 功能 on 
erauraasate tachom 
2 思 世 
ni 这 三 站 ”| 瑟 芝 本 过 
站 widewe ev iT 人 
3 HS 
ES 
图 1-2-1 
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11.2.2 备份 系统 状态 


我 们 将 通过 备份 系统 状态 的 方式 来 备份 AD DS， 系 统 状态 的 文件 是 位 于 安装 Windows 系 
统 的 磁盘 内 ， 一 般 是 C 盘 ， 这 个 磁盘 我 们 将 它 称 为 备份 的 源 磁盘 ， 然 而 备份 目的 地 磁盘 默认 
是 不 能 包含 源 磁盘 ， 所 以 无 法 将 系统 状态 备份 到 源 磁 玲 C:， 因 此 需要 将 其 备份 到 另外 一 个 磁 
盘 、DVD 或 其 他 计算 机 内 的 共享 文件 来 。 操 作用 户 必 须 隶 属于 Administrators 或 Backup 
Operators 组 才 有 权限 执行 备份 系统 状态 的 工作 ， 而 且 必 须 有 权限 将 数据 写 入 目的 地 磁盘 或 共 
享 文件 夹 。 


IEED 


如 果 要 开放 可 以 备份 到 源 磁 盘 的 话 ， 请 在 以 下 注册 表 路 径 新 建 一 条 名 称 为 
AllowSSBToAnyVolume 的 键 值 ， 其 类 型 为 DWORD: 
HKLMNSYSTEMNCurrentControlSetNSerVvicesVywbengine\SystemStateBackuP 


其 值 为 1 表示 开放 ， 为 0 表示 禁止 。 建 议 不 要 开放 ， 和 否则 可 能 会 备份 失败 ， 而 且 需 要 使 用 
2 坟 和 的 甫 卫 让 和 


以 下 假设 我 们 要 将 系统 状态 数据 备份 到 网 络 共享 文件 夹 \dc2\backup 内 【请 先 在 dc2 计 算 

机 上 建立 好 此 共享 文件 夹 ) : 

STEP 和 加 。 单 击 左 下 角 开 始 图 标 田 QWindows 管理 工具 23Windows Server Backup 忆 如 图 11-2-2 所 
示 单 击 一 次 性 备份 …。 


图 112-2 


STEP 回 。 如 图 11-2-3 所 示 选 择 其 他 选项 后 单 击 状 半天 技 钮 。 
STEP 轿 。 在 图 11-2-4 中 选择 自 定义 后 单 击 睛 拉锯 。 


贺 :o 


也 可 以 通过 整个 服务 器 来 备 从 上 侣 域 控制 器 内 的 所 有 数据 ， 它 包含 系统 状态 。 


STEP 


STEP 回 
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-am X 
虽 
备份 选项 
FE 
Ce 区 
Rs 村 和 了 半生 全 并 县 邓 此 和 人 使用 人 9 生 过 
让 
5 人 RD) 
和 天 未 创建 计 全 的 备 从 ， 汪 尖 比 寺 项， 否则 .二 为 此 备 从 光 定 
5 
图 11-23 
神 一 次 性 着 全 向 导 X 
风 
选择 备份 配置 
大 半生 
上 EEssa - -…==>" 
-的 机 要 人 折服 务 所 ， 应 用 习 订 和 世人- 
HE 目 E 91152GB 
an 国 ex 
本 天 和 定义 关 广 用 于 得 


如 图 11-2-5 所 示 单 击 惑 湖 通 四 坊 钮 。 


[一 
记 
于 要 各 人 的 项 
有 有 细 有 起 天 要 交合 的 项 天 要 次 行 作 复 对 . 至 过 这 天 机 仿 复 ,可 以 你 理 俱 大量 寺 天、 
E 和 ce 
ET 


图 11-2.5 
如 图 11-2-6 所 示 勾 选 系统 状态 后 单 击 茵 旭 按 钮 
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X 


再 生 wHE9 更 这 权 开 要 包 全 在 备份 中 的 硕 上 。 人 3 当前 备份 中 所 包含 的 项 目 已 默认 


图 11-26 


STEP 回 。 回 到 选择 要 备份 的 项 界面 后 单 击 请 浊 扩 钮 
STEP 园 。 如 图 11-2-7 所 示 选 择 远 程 共享 文件 夹 后 单 击 请 间 技 钮 。 


STEP 回 


如 图 11-2-8 所 示 在 位 置 处 输入 \dc2\backup 后 单 击 


图 11.2-7 


STEP 回 。 在 确认 界面 中 单 击 轩 到 技 钮 。 


ED 


也 可 以 通过 wbadmin 命 令 来 备份 系统 状态 ， 例 如 : 


wbadmin 


Start 


Systemstatebackup' 


此 范例 假设 是 要 备份 到 网 络 共享 文件 夹 \Vde2Nbackup。 


国 :o> 


-backuptarget:\yN\dc2Xbackup. 
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11.3 还原 AD DS 


在 系统 状态 备份 完成 后 ， 若 之 后 AD DS 数 据 损坏 的 话 ， 就 可 以 通过 执行 非 授权 还 原 
Cnonauthoritative restore) 的 程序 来 修复 AD DS。 必 须 进入 目录 服务 修复 模式 〈Directory 
Services Restore Mode，DSRM) ， 然 后 利用 之 前 的 备份 来 执行 非 授权 还 原 的 工作 。 


如 果 系 统 无 法 启动 的 话 ， 则 应 该 执行 完整 服务 器 的 还 原 程序 ， 而 不 是 非 授权 还 原 程序 。 


11.3:1 进入 目录 服务 修复 模式 的 方法 


打开 命令 行 窗口 ， 然 后 执行 以 下 命令 : 

Bcdedit /set {boctmgrjl dispIaybootmenu Yes 

重新 启动 后 将 出 现 如 图 11-3-1 的 Windows 启 动 管理 器 界面 ， 此 时 请 在 30 秒 内 按 一 键 〈 如 
果 计算 机 内 安装 了 多 套 Windows 系 统 的 话 ， 它 会 自动 显示 图 11-3-1 的 界面 ， 不 需要 执行 上 述 命 


令 ) 。 


ESc= 取 将 


图 11-3-1 


如 果 使 用 虚拟 机 的 话 ， 按 僵 键 前 先 确认 焦点 是 虚拟 机 上 。 


之 后 将 出 现 图 11-3-2 的 高 级 启动 选项 界面 ， 请 选择 目录 服务 修复 模式 后 按 是 语 键 ， 之 后 
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就 会 出 现 目 录 服 务 修复 模式 的 登录 界面 (后 述 ) 。 


站 大 这 项 


Enter= 适 于 有 2 Eee 取 东 | 


图 11-3-2 


IEED 


1. 也 可 以 执行 bededit /set safeboot dsrepair 命 令 ， 不 过 以 后 每 次 启动 计算 机 时 ， 都 会 进入 
目录 服务 修复 模式 的 登录 界面 ， 因 此 在 完成 AD DS 还 原 程序 后 ， 请 执行 bededit 
/deletevalue ”safeboot 命 令 ， 以 便 之 后 启动 计算 机 时 ， 会 重新 以 普通 模式 来 启动 系 
统 。 

2. 也 可 以 在 域 控制 器 上 通过 重新 启动 ， 完 成 自 检 后 ， 在 系统 启动 初期 立刻 按 键 的 方 
式 来 显示 图 11-3-2 的 高 级 启动 选项 界面 ， 不 过 却 不 容易 抓 准 按 旺 键 的 时 机 。 


11.3.2 ”执行 AD DS 的 非 授权 还 原 
接 下 来 需要 利用 目录 服务 修复 模式 的 系统 管理 员 账 户 与 密码 登录 ， 并 执行 AD DS 的 标准 
修复 程序 ， 也 就 是 非 授权 还 原 。 以 下 假设 之 前 制作 的 系统 状态 备份 是 位 于 网 络 共享 文件 夹 
\Wdc2\backup 内 。 
STEP 税 ”在 目录 服务 修复 模式 的 登录 界面 中 ， 如 图 11-3-3 所 示 输 入 目录 服务 修复 模式 的 系统 管 
理 员 的 用 户 名 称 与 密码 来 登录 ， 其 中 用 户 名 称 可 输入 .Administrator 或 砂 划 办 圾 敌 


\Administratoro 


辆 :o 
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图 11-3-3 


STEP 回 ” 单 击 左下 角 开 始 图 标 田 2Windows 管理 工具 QWindows Server Backup 了 单 击 图 11-3-4 


左 侧 本 地 备份 2 单 击 右 侧 的 恢复 …。 


| 晤 wbodmin -Windows server bachup FF 和) 
| XIA 下 要 MI， MtH) 


图 11-34 


| smasea 

| O MES 蝇 DCIXD 

| 

| 于 本 仿生 汪 表 图 在 基地 位 置 奋 全 备份 (A) 


图 11-3-5 
STEP 回 。 如 图 11-3-6 所 示 选 择 远程 共享 文件 夹 后 单 击 请 时 浊 按 钮 
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加 #RmS 
必 把 定位 置 类 型 
8 备份 存储 位 置 的 兴 型 星 什么 ? 
ES es 
得 文件 磷 示 8 可 地 碍 硬 (Dj、DVD 要 动 器 (E 
壬 抒 备 份 日 期 四 
JR 示 聘 NMyFleservervsharedFolderName 
图 11-36 
STEP 回 。 如 图 11-3-7 所 示 答 入 共享 文件 夹 路 径 vdc2vbackup 后 单 击 戎 国 虽 以 钮 
| 加 4mB 
开 拘 负 入 包含 要 使 用 的 备份 的 远程 共享 文件 夫 通 用 命名 约定 牙 径 (. 
找 定 位 置 光 型 [Naczbsdup 
示 伍 NMyFileServer\SharedFolderName 
迁 择 备份 日 期 
图 11.37 


STEP 回 。 在 图 11-3-8 中 选择 备份 的 日 期 与 时 间 后 单 击 畏 讨 浊 以 钮 。 


图 113-8 
STEP 加 。 如 图 11-3-9 所 示 选 择 恢复 系统 状态 后 单 击 训 测 坟 钮 。 


STEP 回 


STEP 回 


STEP 
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要 欣 拓 公认 容 ? 

位 生 放 口交 四 

入 有 份 中 人 二 的 拓 ， 并 选择 文 件 和 六 性 赤 
日 朋 


Hpervi 
何以 本 二 UK 香 划 二 是 其他 位 刘 世上 宙 才 拓 从 的 上 浊 委 广 忆 


图 11-3.9 


如 图 11-3-10 所 示 选 择 原始 位 置 后 单 击 请 浊 扩 钮 。 


名 AmS 


中 选择 系统 状态 恢复 的 位 置 


还 大 打 欠 旨 尖 各 IfM) | 
村 要 要 下 上 fM 功能 轩 刘 和 过 


图 11-3-10 
在 图 11-3-11 中 单 击 甘草 塘 钮 。 
Windows Server Backup， X 
注意 : 此 [有 复制 的 内 容 在 恢复 后 重新 同 
步 。 这 可 | 
图 11-3-11 


参考 图 11-3-12 中 的 说 明 后 单 击 鞍 按钮 
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Windows Server Baclup 


是 否 要 继 绩 ? 


生 在 从 远 香 共 享 文件 夹 上 的 备份 执行 系统 状 术 恢复 时 , 如 果 担 作 过 程 中 出 
2 ， 现 网 络 连 接 问题 , 则 可 能 会 导 玫 正在 次 复 的 计算 机 不 可 用 。 如 果 可 能 
请 将 备份 复制 到 本 地 计算 机 , 


算 机 ,然后 再 执行 恢复 . 


(二 了 [本 


图 11-3-12 


STEPE 加 如 图 11-3-13 所 示 单 击 抽 册 瀛 钮 。 


STEP 


STEP 


国 :os 


口 和 [/ 记 作 NA 


图 113-13 


在 图 11-3-14 中 单 击 古 天 天 以 钮 。 


Windows Server Bedaup 


系统 状态 恢复 一 
成 次 复 扣 作 . 


你 希望 杰 续 吗 ? 


人 


图 11-3-14 
完成 恢复 后 ， 请 依照 界面 提示 重新 启动 计算 机 。 
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如 果 是 利用 bededit /set safeboot dsrepair 命 令 进入 目录 服务 修复 模式 的 话 ， 可 先 执行 
bededit/deletevalue safeboot， 以 便 让 系统 重新 以 普通 模式 启动 。 区 


如 果 要 通过 wbadmin.exe 程 序 来 恢复 系统 状态 的 话 ， 请 先 执行 以 下 命令 ; 


wbadmin get Versions -backuptarget:\Ndc2NDackuP 


它 用 来 读 取 备 份 的 版 本 号 码 ， 其 中 的 -backuptarget 用 来 指定 存储 备份 的 位 置 。 


ED 


如 果 在 存储 备份 的 位 置 内 存储 着 多 人 台 服 务 器 的 备份 ， 则 可 以 指定 要 读 取 的 服务 器 ， 例 如 
要 读 取 属于 服务 器 DC1 的 备份 的 话 ， 可 增加 -machine:del 这 个 参数 。 


请 记 下 要 用 来 恢复 的 备份 版 本 ， 它 是 位 于 版 本 标识 符 处 的 字符 串 〈 假 设 是 07/21/2018- 
23:42) ， 然 后 执行 以 下 命令 : 


wbadmin Start SystemstaterecoVeTrY-Version:07/21I/2018-23:42 一 
ackupPtargetiNNdac2Nbackup 


11.3.3 ”针对 被 删除 的 AD DS 对 象 执行 授权 还 原 


如 果 域内 只 有 一 台 域 控制 器 ， 则 只 需要 执行 非 授权 还 原 即 可 ， 但 是 如 果 域内 有 多 人 台 的 域 
控制 器 的 话 ， 则 可 能 还 需 配 合 授权 还 原 。 

例如 域内 有 两 台 域 控制 器 DC1 与 DC2， 而 且 曾 经 备份 域 控制 器 DC2 的 系统 状态 ， 可 是 今 
天 却 不 小 心 利用 Acetive Directory 管 理 中 心 控 制 台 将 用 户 账户 王 乔治 删除 ， 之 后 这 个 变动 数据 
会 通过 AD DS 复 制 机 制 被 复制 到 域 控 制 器 DC1， 因 此 在 域 控制 器 DC1 内 的 王 乔治 账户 也 会 被 
删除 。 


当 你 将 用 户 账户 删除 后 ， 此 账户 并 不 会 立刻 从 AD DS 数 据 库 内 删除 ， 而 是 被 移动 到 AD 
DS 数 据 库 内 一 个 名 称 为 Deleted Objects 的 容 区 内 ， 同 时 这 个 用 户 账 户 的 版 本 号 码 会 被 加 
1。 系 统 默认 是 180 天 后 才 会 将 其 从 AD DS 数 据 库 内 删除 。 


若 要 恢复 被 不 小 心 删除 的 王 乔治 账户 ， 可 能 会 在 域 控制 器 DC2? 上 利用 标准 的 非 授权 还 原 
来 将 之 前 已 经 备份 的 旧 王 乔治 账户 恢复 ， 可 是 虽然 在 域 控制 器 DC2 内 的 王 乔治 账户 已 被 恢复 
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了 ， 但 是 在 域 控制 器 DC1 内 的 王 乔治 却 是 被 标记 为 已 删除 的 账户 ， 请 问 下 一 次 DCI 与 DC2 之 
间 执 行 Active Directory 复 制 过 程 时 ， 将 会 有 什么 样 的 结果 呢 ? 

答案 是 在 DC2 内 刚 被 恢复 的 王 乔治 账户 会 被 删除 ， 因 为 对 系统 来 说 ，DC1 内 被 标记 为 已 
删除 的 王 乔治 的 版 本 号 较 高 ， 而 DC2 内 刚 恢复 的 王 乔治 是 旧 的 数据 ， 其 版 本 号 较 低 。 在 第 9 章 
曾经 介绍 过 两 个 对 象 发 生 冲 突 时 ， 系 统 会 以 标记 〈stamp) 来 作为 解决 冲突 的 依据 ， 因 此 版 本 
号 码 较 高 的 对 象 会 覆盖 掉 版 本 号 码 较 低 的 对 象 。 

如 果 要 避免 上 述 现象 发 生 的 话 ， 需 要 另外 再 执行 授权 还 原 。 当 在 DC2 上 针对 王 乔 治 账户 
另外 执行 过 授权 还 原 后 ， 这 个 被 恢复 的 旧 王 乔治 账户 的 版 本 号 将 被 增加 ， 而 且 是 从 备份 当天 
开始 到 执行 授权 还 原 为 止 ， 每 天 增加 100.000， 因 此 当 DCI 与 DC2 开 始 执行 复制 工作 时 ， 由 于 
位 于 DC2 的 旧 王 乔 治 账户 的 版 本 号 会 比较 高 ， 所 以 这 个 旧 王 乔治 会 被 复制 到 DC1， 将 DC1 内 
被 标记 为 已 删除 的 王 乔治 著 盖 掉 ， 也 就 是 说 旧 王 乔治 被 还 原 了 。 

以 下 练习 假设 上 述 用 户 账户 王 乔治 是 建立 在 域 sayms,local 的 组 织 单位 业务 部 内 ， 我 们 需 
要 先 执行 非 授权 还 原 ， 然 后 再 利用 mtdsuti 命 令 来 针对 用 户 账户 王 乔治 执行 授权 还 原 。 可 以 依 
照 以 下 的 顺序 来 练习 ; 

匀 在 域 控 制 器 DC2 建 立 组 织 单 位 业务 部 、 在 业务 部 内 建立 用 户 账 户 王 乔治 【George) 

浊 等 组 织 单位 业务 部 、 用 户 账户 王 乔治 账户 被 复制 到 域 控制 器 DC1 

忆 在 域 控制 器 DC2 备 份 系统 状态 

立 在 域 控制 器 DC2 上 将 用 户 账户 王 乔治 删除 ( 此 账户 会 被 移动 到 Deleted Objects 容 器 

内 ) 

包 等 这 个 被 删除 的 王 乔治 账户 被 复制 到 域 控 制 器 DC1， 也 就 是 等 DC1 内 的 王 乔治 也 被 

删除 ( 默认 是 等 15 秒 ) 

外 在 DC2 上 先 执行 非 授 权 还 原 ， 然 后 再 执行 授权 还 原 ， 它 便 会 将 被 删除 的 王 乔治 账 户 

以 下 仅 说 明 最 后 一 个 步骤 ， 也 就 是 先 执行 非 授 权 还 原 ， 然 后 再 执行 授权 还 原 。 


STEP 税 ”请 到 DC2 执 行 非 授 权 还 原 步 又， 也 就 是 前 面 11.3.2 小 节 的 执行 AD DS 的 非 授权 还 原 
STEP 禹 到 STEP 晤 ， 注 意 不 要 执行 STEP 和 国 ， 也 就 是 完成 恢复 后 ， 不 要 重新 启动 计算 
机 。 

STEP 和 四 继续 在 Windows PowerShell 窗 口 下 执行 以 下 命令 ( 完整 的 操作 界面 可 以 如 图 11-3-16 所 


示 ): 


Rtdsuti 
STEP 回 ”在 ntdsutil， 提 示 符 下 执行 以 下 命令: 
actiyate _ instance ntgs 


表示 要 将 域 控制 器 的 AD DS 数 据 库 设置 为 使 用 中 。 


国 :io 
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STEP 四 ”在 ntdsutil: 提示 符 下 执行 以 下 命令 : 
authoritative， Testore 


STEP 回 ”在 authoritative restore: 提示 符 下 ， 针 对 域 sayms.local 的 组 织 单位 业务 部 内 的 用 户 王 
乔治 执行 授权 还 原 ， 其 命令 如 下 所 示 


Testore ”object “CN= 王 乔治 /00= 业 务 部 /DC=sayms, DC=1occal 


IEED 


如 果 要 针对 整个 AD DS 数 据 库 执行 授权 还 原 的 话 ， 请 执行 restore database 命 令 ; 如 果 要 
针对 组 织 单位 业务 部 执行 授权 还 原 的 话 ， 请 执行 以 下 命令 ( 可 输入 ?来 查询 命令 的 语 
法 ) : 

restore -subtree OU= 业 务 部 ,DC=sayms, DC=Iccal 


STEP 占 在 图 11-3-15 中 单 击 萎 g 国 罗拉 钮 。 


授权 还 原 确认 对 话 


【21 全 5 要 执行 这 个 授权 还 原 ? 


图 11-3-15 
STEP 加 ”图 11-3-16 为 前 面 几 个 步骤 的 完整 操作 过 程 。 


语 管理 只 : Windows powerShel = 


图 113-16 


STEP 回 ”在 authoritative restore: 提示 符 下 ， 执 行 quit 命 令 。 
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STEP 回 ”在 ntdsutil， 提 示 符 下 ， 执 行 quit 命 令 。 

STEPEE 加 利用 普通 模式 重新 启动 系统 。 

STEPE 辐 等 域 控 制 器 之 间 的 AD DS 自 动 同 步 完 成 ， 或 利用 Aetive Direetory 站 点 和 服务 手动 同 
步 ， 或 执行 以 下 命令 来 手动 同步 


Tepadmin /syncall dc2.sayms.local /e /da 人 AR /P 
其 中 /e 表 示 包含 所 有 站 点 内 的 域 控制 器 ，/d 表 示 信 息 中 以 distinguished name ( DN ) 来 
识别 服务 器 ，/A 表 示 同 步 此 域 控制 器 内 的 所 有 目录 分 区 ，/P 表 示 同 步 方向 是 将 此 域 控 
制 器 ( dc2.sayms.local ) 的 变动 数据 传送 给 其 他 域 控制 器 。 
完成 同步 工作 后 ， 可 利用 Active Direetory 管 理 中 心 来 验证 组 织 单位 业务 部 内 的 用 户 账户 
王 乔治 已 经 被 恢复 ， 也 可 以 通过 以 下 命令 来 验证 王 乔治 账户 的 属性 版 本 号 码 确实 被 增加 了 
100.000， 如 图 11-3-17 中 的 版 本 字段 所 示 。 


repadmin /showmeta CN= 王 乔治 /00= 业 务 部 , DC=sayms;y DC=1ocal 


图 113-17 


如 果 是 使 用 wbadmin 程 序 ， 并 且 要 针对 SYSVOL 文 件 夹 执行 授权 还 原 的 话 ， 请 在 执行 非 
授权 还 原 时 ， 增 加 -authsysvol 参 数 ， 例 如 : 


wbadmin start “systemstaterecovery -其 他 参数 -authsysvol 


11.4， AD DS 数 据 库 的 移动 与 整理 


AD DS 数 据 库 与 事务 日 志 的 存储 位 置 默 认 是 在 %systemrooz%\NTDS 文 件 夹 内 ， 然 而 一 段 
时 间 以 后 ， 如 果 硬 盘存 储 空间 不 够 或 为 了 提高 工作 效率 的 话 ， 有 可 能 需要 将 AD DS 数 据 库 移 


贺 :2 
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动 到 其 他 位 置 或 重 整 。 


11.4.1 “可 重新 启动 的 ADIDS 《RestartableAD DS) 


如 果 要 进行 AD DS 数 据 库 维护 工作 的 话 ， 例 如 移动 AD DS 数 据 库 、 数 据 库 陪 机 整理 等 ， 
可 以 选择 重新 启动 计算 机 ， 然 后 进入 目录 服务 收复 模式 内 来 执行 这 些 维护 工作 。 如 果 这 台 域 
控制 器 也 同时 提供 其 他 网 络 服务 的 话 ， 例 如 它 同时 也 是 DHCP 服 务 器 ， 则 重新 启动 计算 机 将 
造成 这 些 服务 会 暂时 停止 对 客户 端 服务 。 

除了 进入 目录 服务 修复 模式 之 外 ，Windows Server 2016 域 控制 器 还 提供 可 重新 启动 的 AD 
DS 功 能 ， 此 时 只 需要 将 AD DS 服 务 停止 ， 就 可 以 执行 AD DS 数 据 库 的 维护 工作 ， 不 需要 重新 
启动 计算 机 来 进入 目录 服务 修复 模式 ， 如 此 不 但 可 让 AD DS 数 据 库 的 维护 工作 更 容易 、 更 快 
完成 ， 并 且 其 他 服务 也 不 会 被 中 断 。 完 成 维护 工作 后 再 重新 启动 AD DS 服 务 即 可 。 

在 AD DS 服 务 停止 的 情况 下 ， 只 要 还 有 其 他 域 控制 器 在 线 ， 则 仍然 可 以 在 这 人 台 AD DS 服 
务 已 经 停止 的 域 控制 器 上 利用 域 用户 账 户 来 登录 。 


11.42” 移动 AD DS 数 据 库 文件 


在 此 我 们 不 采用 进入 目录 服务 修复 模式 的 方式 ， 而 是 利用 将 AD DS 服 务 停止 的 方式 来 进 
行 AD DS 数 据 库 文件 的 移动 工作 ， 此 时 必须 至 少 是 隶属 于 Administrators 组 的 成 员 才 有 权限 进 
行 以 下 的 工作 。 

我 们 要 利用 Ntdsutilexe 来 移动 AD DS 数 据 库 与 事务 日 志 ， 以 下 练习 假设 要 将 它们 都 移动 
到 CNNewNTDS 文 件 夹 。 


IEED 


1. 不 需要 手动 建立 此 文件 夹 ， 因 为 Ntdsutilexe 会 自动 建立 。 如 果 要 事先 建立 此 文件 
夹 ， 请 确认 SYSTEM 与 Administrators 对 此 文件 夹 拥 有 完全 控制 的 权限 。 

2. 如果 要 更 改 SYSVOL 文 件 夹 的 存储 位 置 ， 建 议 方法 为 : 删除 AD DS、 重 新 安装 AD 
DS、 在 安装 过 程 中 指定 新 的 存储 位 置 。 


STEP 回 。 打开 Windows PowerShell 窗 口 。 
STEP 加 如 图 11-4-1 所 示 执 行 以 下 命令 来 停止 AD DS 服 务 : 


het ”scop htds' 
接着 输入 Y 后 按 题 辆 刍 。 它 也 会 将 其 他 相关 服务 一 起 停止 。 
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厅 车 理 员 ; Windows PowerShell 一 口 关 


图 11-41 
STEP 轿 ”在 Windows PowerShell 提 示 符 下 执行 以 下 命令 ( 参考 图 11-4-2 ) : 
mtdsutjil 
STEP 四 ”在 ntdsutil: 提示 符 下 执行 以 下 命令 ; 
activate instance ntds 
表示 要 将 域 控制 器 的 AD DS 数 据 库 设置 为 使 用 中 。 
STEP 回 ”在 ntdsutil: 提示 符 下 ， 执 行 以 下 命令 ; 
files 
STEP 回 ”在 file maintenance: 提示 符 下 执行 以 下 命令 


info， 


它 可 以 查看 AD DS 数 据 库 与 事务 日 志 当前 的 存储 位 置 ， 由 图 11-4-2 下 方 可 知道 它们 有 目 
前 都 是 位 于 C:VWindows\NTDS 文 件 夹 内 。 


图 4-42 


STEP 和 加 ”在 file maintenance: 提示 符 下 ， 如 图 11-4-3 所 示 执 行 以 下 命令 ， 以 便 将 数据 库 文 件 移 
动 到 CNewNTDS 


move ”db to Cr:NNewNTDS 
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图 11-43 
STEP 回 ”在 file maintenance: 提示 符 下 ， 如 图 11-4-4 所 示 执 行 以 下 命令 ， 以 便 将 事务 日 志文 件 
也 移动 到 CNewNTDS 


move 1ogs tO CNVNewNTDS 


由 图 中 下 半 部 可 知 数据 库 与 事务 日 志 都 已 经 正确 地 被 移动 到 新 位 置 CNNewNTDS。 


[CT 


图 11-44 
STEP 回 ”在 fle maintenance: 提示 符 下 ， 如 图 11-4-5 所 示 执 行 以 下 命令 ， 以 便 执 行 数 据 库 的 完 
整 性 检查 ; 
Integrity 


由 图 下 方 的 文字 Integrity check successful 可 知 完整 性 检查 成 功 。 


图 11-45 
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STEPED 在 file maintenance: 提示 符 下 执行 以 下 命令 : 


STEP 
STEP 吧 


STEP 


STEP 到 


STEP 四 


STEPED 
STEP 


STEP 四 


国 3 


Guit 
如 果 完 整 性 检查 成 功 的 话 ， 可 跳 到 STEP E 四 ， 否 则 请 继续 以 下 的 步骤 。 
在 ntdsutil; 提示 符 下 执行 以 下 命令 ( 参考 图 11-4-6 ) : 


Semantic database analysis 

在 semantic checker， 提示 符 下 执行 以 下 命令 ， 以 便 启用 详细 信息 模式 : 
Verbose of 

在 semantic checker: 提示 符 下 执行 以 下 命令 ， 以 便 执行 语义 数据 库 分 析 工作 : 


5 下 xmp 


辐 管理 员 Windows Powershell - 口 X 


图 11-46 
在 semantic checker:， 提示 符 下 执行 以 下 命令 : 
quit 
如 果 语义 数据 库 分 析 没 有 错误 的 话 ， 可 跳 到 STEP E 四 ， 否 则 继续 以 下 的 步骤 。 
在 ntdsutil; 提示 符 下 执行 以 下 命令 ( 参考 图 11-4-7 ) ; 
位 les 
在 file maintenance: 提示 符 下 执行 以 下 命令 ， 以 便 修复 数据 库 


Fecover 


图 11-47 
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STEP 上 在 file maintenance， 提 示 符 下 执行 以 下 命令 , 
本 计 
STEP 园 ”在 ntdsutil， 提 示 符 下 执行 以 下 命令 ; 
GDiE 
STEP 回 到 Windows PowerShell 提 示 符 下 执行 以 下 命令 ， 以 便 重 新 启动 AD DS 服 务 ; 


net Start mrds 


11.4.3” 重 整 AD DS 数 据 库 


AD DS 数 据 库 的 重 整 操作 (defragmentation ) ， 会 将 数据 库 内 的 数据 排列 整齐 ， 让 信息 
的 读 取 速 度 更 快 ， 可 以 提升 AD DS 运 行 效 率 。AD DS 数 据 库 的 重 整 分 为 


外 在 线 重 整 : 每 一 台 域 控制 器 会 每 隔 12 小 时 自动 执行 所 谓 的 垃圾 回收 程序 ( garbage 
collection process ) ， 它 会 重 整 AD DS 数 据 库 。 在 线 重 整 并 无 法 减少 AD DS 数 据 库 文 
件 (ntds.dit ) 的 大 小 ， 而 只 是 将 数据 有 效 地 重新 整理 、 排 列 。 由 于 此 时 AD DS 还 在 
运行 中 ， 因 此 这 个 重 整 操 作 被 称 为 在 线 重 整 。 
另外 ， 我 们 曾经 说 过 一 个 被 删除 的 对 象 ， 并 不 会 立刻 被 从 AD DS 数 据 库 内 删除 ， 而 
是 被 移动 到 一 个 名 称 为 Deleted Objects 的 容器 内 ， 这 个 对 象 在 180 天 以 后 才 会 被 自动 
清除 ， 而 这 个 清除 操作 也 是 由 垃圾 回收 程序 所 负责 。 虽 然 对 象 已 被 清除 ， 不 过 腾 出 
的 空间 并 不 会 还 给 操作 系统 ， 也 就 是 数据 库 文件 的 大 小 并 不 会 减少 。 当 建立 新 对 象 
时 ， 该 对 象 就 会 使 用 腾 出 的 可 用 空间 。 

沁 脱 机 重 整 : 脱 机 重 整 必须 在 AD DS 服 务 停 止 或 目录 服务 修复 模式 内 手动 进行 ， 脱 机 
重 整 会 建立 一 个 全 新 的 、 整 齐 的 数据 库 文件 ， 并 会 将 已 删除 的 对 象 所 占用 空间 还 给 
操作 系统 ， 因 此 可 以 腾 出 可 用 的 硬盘 空间 给 操作 系统 或 其 他 应 用 程序 来 使 用 。 


ED 


在 一 个 包含 多 个 域 的 林 中 ， 如 果 有 一 人 台 域 控制 器 曾经 兼 具 全 局 编 录 服务 器 角色 ， 但 现在 
已 经 不 再 是 全 局 编 录 服务 器 的 话 ， 则 这 侣 域 控制 器 经 过 脱 机 重 整 后 ， 新 的 AD DS 数 据 库 
文件 会 比 原来 的 文件 小 很 多 ， 也 就 是 说 可 以 腾 出 很 多 的 硬盘 空间 给 操作 系统 。 


以 下 将 介绍 如 何 来 执行 脱 机 重 整 的 步骤 。 请 确认 当前 存储 AD DS 数 据 库 的 磁盘 内 有 足够 
可 用 空间 来 存储 脱 机 重 整 所 需 的 缓存 文件 ， 至 少 保留 数据 库 文件 大 小 的 15% 可 用 空间 。 还 有 
重 整 后 的 新 文件 的 存储 位 置 ， 也 需要 保留 至 少 与 原 数据 库 文件 大 小 的 可 用 空间 。 以 下 假设 原 
数据 库 文件 是 位 于 C:\Windows\NTDS 文 件 夹 ， 而 我 们 要 将 重 整 后 的 新 文件 放 到 CANTDSTemp 
文件 夹 。 
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1. 不 需要 手动 建立 C:\NTDSTemp 文 件 夹 ，Ntdsutil.exe 会 自动 建立 。 


2 如果 要 将 重 整 后 的 新 文件 存储 到 网 络 共享 文件 夹 ， 需 要 开放 Administrators 组 有 权利 来 
访问 此 共享 文件 夹 ， 并 先 利 用 网 络 驱动 器 来 连接 到 此 共享 文件 夹 。 


STEP 贺 
STEP 加 


STEP 回 


STEP 四 


STEP 回 


STEP 加 


STEP 萝 
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开启 Windows PowerShell 窗 口 。 
执行 net stop ntds 命 令 、 输 入 Y 后 按 旺 呈 键 来 停 上 AD DS 服 务 ( 它 也 会 将 其 他 相关 服 
务 停止 ) 。 
在 Windows PowerShell 提 示 符 下 执行 以 下 命令 ( 参考 图 11-4-8 ) : 
ntdsutil 
在 ntdsutil， 提 示 符 下 执行 以 下 命令 
activate，、jinstance pntds: 
表示 要 将 域 控制 器 的 AD DS 数 据 库 设置 为 使 用 中 。 
在 ntdsutil: 提示 符 下 执行 以 下 命令 : 
和 les 
在 file maintenance: 提示 符 下 执行 以 下 命令 


info 


它 可 以 查看 AD DS 数 据 库 与 事务 日 志 当前 的 存储 位 置 ， 由 图 11-4-8 下 方 可 知道 它们 当 
前 都 是 位 于 CA\Windows\NTDS 文 件 夹 内 。 


图 11L-48 
在 fle maintenance:; 提示 符 下 ， 如 图 11-4-9 所 示 执 行 以 下 命令 ， 以 便 重 整数 据 库 文 
件 ， 并 将 所 产生 的 新 数据 库 文件 放 到 EX\NTDSTTemp 文 件 夹 内 ( 新 文件 的 名 称 还 是 
ntds.dit ) : 


附注 酌 ) 
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compact to CNNTDSTemp 


1， 如 果 路 径 中 有 空格 的 话 ， 请 在 路 径 前 后 加 上 双 引 号 ， 例 如 "C:\New Folder”。 
2 如果 要 将 新 文件 放 到 网 络 驱动 器 的 话 ， 例 如 K:， 利 用 compact to K:\ 命 令 


STEP 四 


STEP 回 


图 11-49 


暂时 不 要 离开 ntdsutil 程 序 、 打 开 文 件 资源 管理 器 后 执行 以 下 几 个 步骤 : 

外 ”将 原 数据 库 文件 C\Windows\NNTDS\ntds.dit 备 份 起 来 ， 以 备 不 时 之 需 。 

外 ”将 重 整 后 的 新 数据 库 文件 CNNTDSTempmtds.dit 复 制 到 C: \Windows\NTDS 文 
件 夫 ,并 履 盖 原 数 据 库 文件 。 

外 ” 将 原 事务 日 志 C:\VWindowsNNTDS\*.log 删 除 。 

继续 在 ntdsutil 程 序 的 fle maintenance: 提示 符 下 ， 如 图 11-4-10 所 示 执 行 以 下 命令 ， 

以 便 执 行 数 据 库 的 完整 性 检查 : 


integrity 


由 图 下 方 所 显示 的 Integrity check successful 可 知 完整 性 检查 成 功 。 


Powershell 


图 11-410 
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STEPE 加 在 file maintenance， 提 示 符 下 执行 以 下 命令 : 
Guit 
STEPE。 在 ntdsutil， 提示 符 下 执行 以 下 命令 ; 
auait 
STEP 加 回 到 Windows PowerShell 提 示 符 下 执行 以 下 命令 ， 以 便 重 新 启动 AD DS 服 务 ， 
net StaEE Ed 
如 果 无 法 启动 AD DS 服 务 的 话 ， 请 试 着 采用 以 下 方法 来 解决 问题 ; 


久 利用 事件 查看 器 来 查看 目录 服务 日 志文 件 ， 如 果 有 事件 标识 符 为 1046 或 1168 的 事件 
日 志 的 话 ， 请 利用 备份 来 还 原 AD DS。 

匀 再 执行 数据 库 完 整 性 检查 (integrity ) ， 如 果 检 查 失 败 的 话 ， 请 将 之 前 备份 的 数据 库 
文件 ntds.dit 复 制 回 原 数据 库存 储 位 置 ， 然 后 重复 数据 库 重 整 操 作 ， 如 果 这 个 操作 中 
的 数据 库 完 整 性 检查 还 是 失败 的 话 ， 请 执行 语义 数据 库 分 析 操作 (semantic database 
analysis ) ， 如 果 失 败 的 话 ， 请 执行 修复 数据 库 的 操作 (recover) 。 


11.5” 重 置 “ 目 录 服 务 修复 模式 ”的 系统 管理 员 密码 


如 果 目 录 服 务 修复 模式 的 系统 管理 员 密码 起 了 ， 以 至 于 无 法 进入 目录 服务 修复 模式 时 该 
怎么 办 呢 ? 此 时 可 以 在 普通 模式 下 ， 利 用 ntdsutil 程 序 来 重 置 目 录 服 务 修复 模式 的 系统 管理 员 
密码 ， 其 步骤 如 下 所 示 : 


STEP 回 请 到 域内 的 任何 一 人 台 成 员 计算 机 上 利用 域 系 统管 理 员 账户 登录 。 
STEP 回 ”打开 Windows PowerShell 窗 口 ， 执 行 以 下 命令 ( 完整 的 操作 界面 请 见 图 11-5-1 ) ， 


mntdstutil 

STEP 贺 ”在 ntdsutil:， 提示 符 下 执行 以 下 命令 
set ，DSRM Password 

STEP 四 。 在 重 置 DSRM 管 理 员 密码 : 提示 符 下 执行 以 下 命令 : 
Teset， ”Password on server dc2.sayms:local: 


四 密 码 的 域 控制 器 ， 其 AD DS 服 务必 须 启动 中 。 
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STEP 回 。” 输入 与 确认 新 密码 。 
STEP 回 。” 连续 输入 quit 命 令 以 便 离 开 ntdsutil 程 序 ， 图 11-5-1 为 以 上 几 个 主要 步骤 的 操作 界面 。 


到 符 理 员 , Wirdows PowerShell 一 口 XX 


JJ-s51 


11.6 ”更 改 可 重新 启动 的 AD DS 的 登录 设置 


在 AD DS 服 务 停止 的 情况 下 ， 只 要 还 有 其 他 域 控制 器 在 线 ， 则 仍然 可 以 在 这 台 AD DS 服 
务 已 经 停止 的 域 控制 器 上 利用 域 用 户 账 户 来 登录 。 如 果 没 有 其 他 域 控制 器 在 在 线 的 话 ， 可 能 
会 产生 问题 ， 例 如 : 

外 ”在 域 控制 器 上 利用 域 系统 管理 员 的 身份 登录 。 

站 将 AD DS 服 务 停止 

电 一 段 时 间 未 操作 此 计算 机 ， 因 而 屏幕 保护 程序 被 启动 ， 并 且 需 输入 密码 才能 解锁 。 

此 时 如 果 要 继续 使 用 这 台 域 控制 器 的 话 ， 就 需要 输入 域 系统 管理 员 账户 来 解 开 屏幕 保护 
的 锁定 ， 不 过 因为 AD DS 服 务 已 经 停止 ， 而 且 网 络 上 也 没有 其 他 域 控制 器 在 线 ， 因 此 无 法 验 
证 域 系统 管理 员 身份 ， 也 就 无 法 解 开 屏幕 保护 的 锁定 。 如 果 事 先 更 改 默认 登录 设置 的 话 ， 就 
可 以 在 这 个 时 候 利用 目录 服务 修复 模式 (DSRM) 的 系统 管理 员 (DSRM 管 理 员 ) 账户 来 解 
除 锁定 。 更 改 登录 设置 的 方法 为 : 执行 注册 表 编辑 器 REGEDITEXE， 然 后 修改 或 新 建 以 下 的 
键 值 : 

HKEY _LOCRAT MACHRINENSYSstermNCurrentControlSetAControlVLsavDSRMRAaminLogcnEBEhav 
OF 

DSRMAdminLogonBehavior 的 数据 类 型 为 REG_DWORD， 它 用 来 决定 在 这 人 台 域 控制 器 
以 正常 模式 启动 、 但 AD DS 服 务 停止 的 情况 下 ， 能 否 利 用 DSRM 管 理 员 登 录 : 

包 0: 不 能 登录 。DSRM 管 理 员 只 能 登录 到 目录 服务 修复 模式 (默认 值 ) 。 

所 1 DSRM 管 理 员 可 以 在 AD DS 服 务 停止 的 情况 下 登录 ， 不 过 DSRM[ 管 理 员 不 受 密码 

策略 设置 的 约束 。 在 域 中 只 有 一 台 域 控制 器 的 情况 之 下 ， 或 某 台 域 控制 器 是 在 一 个 
隔离 的 网 络 等 状况 之 下 ， 此 时 或 许 希 望 能 够 将 此 参数 改 为 这 个 设置 值 。 
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习 2: 在 任何 情况 之 下 ， 也 就 是 不 论 AD DS 服 务 是 否 启动 不论 是 否 在 目录 服务 修复 模 
式 下 ， 都 可 以 使 用 DSRM 系 统管 理 员 来 登录 。 不 建议 采用 此 方式 ， 因 为 DSRM 管 理 
员 不 受 密码 策略 设置 的 约束 。 


11.7 Active Directory 回 收 站 


在 旧版 Windows 系 统 中 ， 系 统管 理 员 容易 不 小 心 将 AD DS 对 象 删 除 ， 因 而 造成 对 象 恢 复 
的 问题 ， 尤 其 是 误 删除 组 织 单位 的 话 ， 其 中 所 有 对 象 都 会 去 失 。 虽 然 系统 管理 员 可 以 进入 目 
录 服 务 收复 模式 来 恢复 被 误 删 的 对 象 ， 不 过 很 耗费 时 间 ， 并 且 在 进入 目录 服务 修复 模式 这 一 
段 期 间 内 ， 域 控制 器 会 暂时 停止 对 客户 端 提供 服务 。 

较 新 版 本 的 Windows Server 系 统 中 针对 此 事 进行 了 改良 ， 例 如 可 以 在 新 建 用 户 与 组 账户 
等 对 象 时 ， 勾 选 防止 意外 删除 (如 图 11-7-1 所 示 ) 。 如 果 是 新 增 组 织 单位 的 话 ， 系 统 甚至 默 
认 就 会 自动 勾 选 防止 意外 删除 。 除 此 之 外 ，Windows Server 2016 也 支持 Acetive Direetory 回 收 
站 (Active Directory Recycle Bin) ， 它 支持 不 需要 进入 目录 服务 修复 模式 ， 就 可 以 快速 恢复 


被 删除 的 对 象 。 
口 共 
王 乔 治 区 -了 下 >] 
KPA。 帐户 3 了 SS 日 
覃 和 双 字 于 7 对 疡 辽 期 ; 侠 从 不 
必 员 介 中 国生 字 昌 _ 口 导 明 
二 玛 设 置 (5) 2 本 吧 
乱 村 文件 fp 。 丽 户 Up 如 有 po 8 雨 广 下 次 电 录 于 项 更 政 宙 码 
车 必 六 Samhcc -sam \ 来 95oge 口交 式 要 要 要 Wicrocaft pas- 
后 收 器 | 要 现款 不 可 期 
[2 
扩展 (E) 问 用 产 不 朋 更 改 训 码 
人 | 


图 1P731 
一 旦 启用 Aetive Direetory 回 收 站 后 ， 就 无 法 再 禁用 。 林 与 域 功能 级 别 需 要 为 Windows 
Server 2008 R2 |( 含 ) 以 上 的 级 别 ， 才 具备 Aetive Directory 回 收 站 功能 。 


启用 Acetive Direetory 回 收 站 与 恢复 误 删 对 象 的 演练 步骤 如 下 所 示 。 


STEP 打开 Active Directory 管 理 中 心 如 图 11-7-2 所 示 单 击 左 方 域名 sayms3 单 击 右 侧 的 启用 
回收 站 。 


面 :> 
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晤 Acive Direcor 人 


到 | 亨 各 comput-。 安 Defuk conuinerforup- 国 


LosaandFoond 一 bomah-， pit 。 Detoulcontainerfordo -SDHEIERRL 
LE 》 可 Foregns 5 Defaukt containerfor se_ 长 
Infastm.。 infrastruct- 二 
与 闪 下 ， 是 
民 < RE " ET 雪 家 
PN Buitin ~ 有 
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图 11-72 
STEP 回 。 如 图 11-7-3 所 示 单 击 畦 量 技 钮 。 


启用 回收 站 确认 共 
个 你 确定 要 执行 此 栓 作 吗 ? 回收 站 启用 后 ， 便 无 法 禁用 . 
图 11-73 


STEP 回 在 图 11-7-4 单 击 蒜 吊 技 钮 后 按 国 键 出 新 界面 。 


Active Directory 管理 中 心 X 


1 请 立即 吊 新 AD 管理 中 心 . 


AD DSs 已 开始 启用 此 宁 的 回收 站 。 回 收 站 的 功能 不 可 靠 ， 直至 该 林 中 的 
所 有 域 近 制 器 都 已 复制 回收 站 配置 更 改 , 


蕊 到 司 


图 11-74 


IEED) 


如 果 域 内 有 多 人 台 域 控制 器 或 有 多 个 域 的 话 ， 则 需要 等 设置 值 被 复制 到 所 有 的 域 控制 器 
后 ，Aetive Direetory 回 收 站 的 功能 才 会 完全 正常 。 


STEP 加 。 试 着 将 某 个 组 织 单位 ( 假设 是 业务 部 ) 删除 ， 但 是 要 先 将 防止 删除 的 选项 删除 : 如 图 
11-7-5 所 示 点 选 业 务 部 、 单 击 右 侧 的 属性 。 
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图 11-7-5 


STEP 回 取消 勾 选 图 11-7-6 中 选项 后 单 击 贰 全 按钮 2 选中 组 织 单位 业务 部 并 右 击 3 删 除 3 单 击 


两 次 是 LU 惧 钮 。 


2 Deleted Objects 光 


[waounrouwaeaiaaem 


2 口 X 
业务 部 [EE 
组 织 单 位 (0) 组 织 单位 下 殉国 

名 称 : 来 业 各 部 扬 述 : 
扩展 (日 地 二 
音 殖 
Ce 
己方 -站 访 司 汉 AR 
国 了 /地 区 ; 二 
从 ) 详 名 信息 村 3 
图 11-76 
STEP 回 。 接 下 来 要 通过 回收 站 来 恢复 组 织 单位 业务 部 : 双击 如 图 11-7-7 所 示 的 Deleted Objects 
容器 。 

[ER 2 证 

Director。《 ，sayms (二 其 《T4) 人 玫 
5 页 画 = 局 | 自 | 
ded objea 册 

匀 属 二 a2 达 和 建 

国 Buain bufinDe- 和 

国 Computers 容器 Deiaulf 和 疝 下 近 雪 

Pomain Contoler 。 硬 ”Domein Controlens 担 妇 单位 。。 Defoul sayme (本 地 | ww | 
rp E 


图 1-77 


国 :2 
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STEP 加 。 在 图 11-7-8 中 选择 要 恢复 的 组 织 单位 业务 部 后 ， 单 击 右 侧 的 还 原来 将 其 还 原 到 原始 位 
置 。 


如 果 单 击 还 原 到 .的话 ， 则 可 以 选择 将 其 还 原 到 其 他 位 置 。 


[7 人 
ive Director.，、《 Deleted Objects 2) 二 | 
RE 万 加 = 回 自 
相 ^ 
二 [ a5- 人 @@) 
2 712a12018a5。、 ouU< 业 。i 为 - 
Eee 3 机 
用 性 
Eee cs 
图 11-73 
STEP 贺 ”组 织 单位 业务 部 还 原 完成 后 ， 接 着 继续 在 图 11-7-9 中 选择 原本 位 于 组 织 单位 业务 部 内 
的 用 户 账户 后 单 击 还 原 。 
民 Maie ora 三 
妖 Active Director。 < Daleeed Object () 1 
性 汪 HR 如 画 = 怠 自 
1 汐 ^ 
er aa 《7 
ENDZETE3ES “ 
技 到 你 硕 
强 往 
g eted object < 
> 对 Foreignsecurityprin 大 于 
| “me E ~ 囊 | 


| windows PowerShell 历史 记录 


图 11-79 


STEP 回 。 利用 Acetive Direetory 管 理 中 心 来 检查 组 织 单位 业务 部 与 用 户 账户 王 乔治 等 账户 是 否 已 
被 还 原 ， 而 且 这 些 被 还 原 的 账户 也 会 被 复制 到 其 他 域 控 制 器 。 
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将 资源 发 布 (publish) 到 Active Directory 域 服务 (AD DS) 后 ， 域 用 户 就 能 够 很 方便 地 
找到 这 些 资源 。 可 以 被 发 布 的 资源 包含 用 户 账户 、 计 算 机 账户 、 共 享 文件 夹 、 共 享 打印 机 与 
网 络 服务 等 ， 其 中 有 的 是 在 建立 对 象 时 就 会 自动 被 发 布 ， 例 如 用 户 与 计算 机 账户 ， 而 有 的 需 
要 手动 发 布 ， 例 如 共享 文件 夹 。 

匀 将 共享 文件 夹 发 布 到 AD DS 

外 查找 AD DS 内 的 资源 

匀 将 共享 打印 机 发 布 到 AD DS 
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12.1 将 共享 文件 夹 发 布 到 AD DS 


将 共享 文件 夹 发 布 到 Active Directory 域 服务 (AD DS) 后 ， 域 用 户 便 能 够 很 容易 地 通过 
AD DS 来 查找 、 访 问 此 共享 文件 夹 。 需 要 为 Domain Admins 或 Enterprise Admins 组 内 的 用 户 ， 
或 被 委派 权限 者 ， 才 可 以 执行 发 布 共享 文件 夹 的 工作 。 

以 下 假设 要 将 服务 器 DC1 内 的 共享 文件 夹 C:\ 图 库 ， 通 过 组 织 单位 业务 部 来 发 布 。 请 先 利 
用 文件 资源 管理 器 将 此 文件 夹 设置 为 共享 文件 夹 ， 同 时 假设 其 共享 名 为 图 库 。 


12.1.1 利用 Active Difectoy 用 户 和 计算 机 控制 台 


STEP 回 。 单 击 左下 角 开 始 图 标 田 QWindows 管理 工具 23Acetive Direetory 用 户 和 计算 机 2 如 
12-1-1 所 示 选 中 组 织 单位 业务 部 并 右 击 2 新 建 2 共享 文件 夹 


上 Pam an wm wan 


| 如 中 | 硬 同 | 《 口 | 其 司 写 | 国名 | 世间 证 站 司 包 | 


图 2-L-1 


STEP 回 在 图 12-1-2 中 的 名 称 处 为 此 共享 文件 夹 设置 名 称 ， 在 网 络 路 径 处 输入 此 共享 文件 夹 所 
在 的 路 径 Ne 图 库 ， 单 击 轩 员 层 钮 。 


新 建 对 象 - 共享 文件 去 光 


宇 国王 。 cmslocalds 可 


图 12-12 
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STEP 回 


STEP 四 


STEP 回 


在 图 12-1-3 中 双击 刚才 所 建立 的 对 象 图 库 。 


瑟 Acive pirectory 用 计算 机 
文 性 站 。 强 fFIA) 查看 帮助 (H) 


和 路 | 让 呵 了 日 | 入 国 加 可 | 四 喇 | 访 刀鱼 下 百色 


- D 口 x 


昌 Adive pireaory 用 户 和 计算 机 | 名 称 


图 12-13 


单 击 图 12-1-4 中 的 跨 急 到 扩 钮 


叹 。 恩 


SR(Dh: [ 


UNC 名 咖 : Vserversharej(U: 


NdcT\ 轿 库 


图 12-14 
通过 图 12-1-5 来 将 与 此 文件 夹 有 关 的 关键 字 ( 


如 图 标 、 网 络 图 形 等 ) 添加 到 此 处 ， 


例 
让 用 户 可 以 通过 关键 字 来 查找 此 共享 文件 夹 。 完 


关 铀 字 


新 值 (N); 


成 后 单 击 钴 是 按 钮 
X 


? 


本 一 启 
Se 
性 


图 12-1-5 
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12.1.2， 利 用 计算 机 管理 控制 台 


STEP 翻 ”请 到 共享 文件 夹 所 在 的 计算 机 ( DC1 ) 上 【 单 击 左下 角 开 始 图 标 田 ?Windows 管理 工 


具 2 计 算 机 管理 ] 。 
STEP 加 。” 如 图 12-I-6 所 示 【 展开 计算 机 管理 忆 共享 文件 夹 忆 共 享 3 双 击 中 间 的 共享 文件 来 图 
库 ] 。 
雷 计算 机 千 理 一 页 X 


2 辣 - 二 二 
和 中 | 直 加 | G 访 | 目 画 | 若 


ETEEE 共 这 。 文件 中公 适 交 3 

Y 前 和 工具 恒 AD-。 cwindows Windows 
加 fsitHil 恒 序 。 | 大 back、cCNbackup windows 0 更 多 扣 作 四 

国 事 人 查看 中 有 cc Windows 0 

Y 而 共享 文件 赤 丽 Ipcs Windows 

五 # 国 NET-。 CNWindowssys-。，Windows 0 

十 和光 件 Windows\SYS.。 Windows 0 

er 人 

图 12-146 


STEP 回 。 如 图 12-1-7 所 示 【 单 击 桥 重 选 项 卡 23 勾 选 将 这 个 共享 在 Aetive Direetory 中 发 布 3 单 击 
注 间 撤 钮 ] 。 也 可 运 过 图 右 下 方 套 鲁 按 钮 来 添加 关键 字 。 


| 四 办 共 


12.2 ”查找 AD DS 内 的 资源 


系统 管理 员 或 用 户 可 以 通过 多 种 方法 来 查找 发 布 在 AD DS 内 的 资源 ， 例 如 他 们 可 以 通过 
网 络 或 Acetive Direetory 用 户 和 计算 机 控制 台 。 
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12.2.1 通过 网 络 
以 下 分 别 说 明 如 何在 域 成 员 计 算 机 内 ， 通 过 网 络 来 查找 AD DS 内 的 共享 文件 夹 。 
1.， Windows Vista 〈 含 ) 之 后 的 Windows 系统 


以 Windows 10、Windows 8.1 为 例 , 【打开 文件 资源 管理 器 如 图 12-2-1 所 示 先 单 击 左 下 
角 网络 再 单 击 最 上 方 的 网 络 3 单 击 上 方 搜索 Acetive Direetory 忆 在 查找 处 选择 共享 文件 夹 3 
设置 查找 条 件 〈 例 如 图 中 利用 关键 字 ) 3 单 击 亚 始 查 拓 护 钮 】 。 


咬 1 回 下 :|Rs < 区 
| -@ 
回 隘 黎 吾 看 打印 册 

B 取 鸭 区 
属性 ”生生 “人 月 . 远 但 点 而 洒 押 设 和 国 到 看 3 总 风 区 网 络 和 

过 所 "进行 连 反 共 束 中心 本 芝 

[1 E 

人 丰台 到 # 可 六 人 关 过 本 站 亲 
文 # 虽 多 下 大 MI 人 

， 才 ti 辣 ap 《 攻 二 3 四 ET 
>》 因此 电 顺 
2 共 训 文件 大- 高 有 
es CE 
1 人 3 ED 


图 122-1 


如 图 12-2-2 所 示 为 查找 到 的 共享 文件 夹 ， 可 以 直接 双击 此 文件 夹 来 访问 其 中 的 文件 ， 或 
通过 选中 此 共享 文件 夹 并 右 击 的 方式 来 管理 、 访 问 此 共享 文件 夹 。 


KE 宁 
区 me DCn 用 了 网 虹桥 标 公司 loge 


图 1222 
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如 果 是 Windows 7 客户 端的 话 : 【打开 文件 资源 管理 器 2 如 图 12-2-3 所 示 单 击 左下 角 网 络 
单 击 上 方 搜索 Active Directory 忆 在 查找 处 选择 共享 文件 夹 …… (以 下 与 Windows 10 客 户 
端 相同 ) 】。 


图 12.23 


12.2.2 ”通过 Active Directory 用 户 和 计算 机 控制 台 


一 般 来 说 ， 只 有 系统 管理 员 才 会 使 用 Active Direetory 用 户 和 计算 机 控制 台 。 而 这 个 控制 
台 默 认 只 存在 于 域 控制 器 的 【开始 3Windows 管 理工 具 】 内 ， 其 他 成 员 计算 机 需 另外 安装 或 
添加 ， 其 安装 说 明 请 参考 2.8 节 。 

想 要 通过 Active Directory 用 户 和 计算 机 控制 台 来 查找 共享 文件 夹 的 话 : 【如 图 12-2-4 所 
示 选 中 域名 sayms:local 并 右 击 2 查 找 在 查找 处 选择 共享 文件 夹 设 置 查找 的 条 件 〈 例 如 图 中 
利用 关键 字 ) 3 单 击 亚 婚 橙 狗 按钮 】。 


了 Active Directory 用 广 和 计算 机 一 已 注 ， 

和 中 | 由 加 | 日 | 目 四 局 | 四 三 | 六 久 名 了 已 入 

也 Acive Directoy 用 FiH^ || 名 称 和 到 | 

所 - en | 屯 双 xx = 后 
3 国 euiin 日 | 文 仙 中 ， 久 汝 ， 硬 泪 V) 一 一 人 
， 六 comput 
， 届 pemai 3 | 
>》 四 Forsign' 
本 R | 共 大 文件 夹 融 届 
》 轩 LostAnd q ) 
， 十 Manega 【到 WUM-| | 吉本 HA Lean 
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12.3 ”将 共享 打印 机 发 布 到 AD DS 


将 共享 打印 机 发 布 到 Active Direetory 域 服务 (AD DS) 后 ， 便 可 以 让 域 用 户 很 容易 地 通 
过 AD DS 来 查找 、 使 用 这 台 打 印 机 。 


12.3.1 发 布 打印 机 


域内 的 Windows 成 员 计算 机 ， 有 的 默认 会 自动 将 共享 打印 机 发 布 到 AD DS， 有 的 默认 却 
需要 手动 发 布 。 首 先 请 先 参照 以 下 的 说 明 来 找到 打印 机 的 设置 窗口 : 


] 


忆 


] 


沁 


马 


Windows Server 2016、Windows 10: 按 田 ! 圆 尾 2 给 入 control 后 按 辆 辆 键 2 项 件 设 
备 和 打印 机 已 选中 共享 打印 机 并 右 击 纪 打 印 机 属性 - 

Windows Server 2012 R2、Windows 8.1: 接 田 + 国 刍 忆 近 制 面 板 纺 硬件 和 声音 忆 设 备 
和 打印 机 了 选中 共享 打印 机 并 右 击 纪 打印 机 属性 - 

Windows Server 2012、Windows 8: 护 甸 + 国 秆 2 控制 面板 忆 硬 件 和 声音 已 设备 和 打 
印 机 马 选 中 共享 打印 机 并 右 击 仿 打 印 机 属性 。 

Windows Server 2008 R2、Windows 7 开始 马 设 备 和 打印 机 选 中 共享 打印 机 并 右 击 
忆 打 印 机 属性 。 

Windows Server 2008、Windows Vista: 开始 人 控制 面板 驴 打 印 机 习 选中 共享 打印 机 并 
十 击 纺 属 性 - 


接 下 来 如 图 12-3-1 所 示 《〈 此 为 Windows Server 2016 的 界面 ) 单 击 共享 选项 卡 信义 选 列 入 目 
录 2 单 击 叶 党 撤 钮 。 
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查看 发 布 到 AD DS 的 共享 打印 机 
可 以 通过 Aetive Directory 用 户 和 计算 机 来 查看 已 被 发 布 到 AD DS 的 共享 打印 机 ， 不 过 需 


男 ::: 
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先 如 图 12-3-2 所 示 【 点 选 查看 菜单 用户、 联系 人 、 组 和 计算 机 作为 容器 】。 


图 12-32 


接着 在 Aetive Direetory 用 户 和 计算 机 中 选择 拥有 打印 机 的 计算 机 后 就 可 以 看 到 被 发 布 的 
打印 机 ， 如 图 12-3-3 所 示 ， 图 中 的 打印 机 对 象 名 称 是 由 计算 机 名 称 与 打印 机 名 称 所 组 成 ， 可 


以 自行 更 改 此 名 称 。 


卫 Acive Dieaor 用 计算 机 二 这 ,工人 
和 史 | 直 轩 | 自 | 国 四 上 也 | 四 四 | 马 扩 名 了 忆 又 


已 Active Direaqory 用 户 和 计算 机 [dc2saymsjocall A | | 名称 
3 
v 例 saymsjocal 
>》 旺 Buikin 
》 国 computers 
Y 量 pomain Controllers 
师 pcl 
枉 ! 
> 国 ForeignSecwigypiincipals ee 闻 
图 1233 
12.3.2 “通过 AD DS 查 找 共享 打印 机 


系统 管理 员 或 用 户 利用 AD DS 来 查找 打印 机 的 方法 ， 与 查找 共享 文件 夹 的 方法 类 似 ， 请 


参考 12.2 节 查找 AD DS 内 的 资源 的 说 明 。 


12.3.3 “利用 打印 机 位 置 来 查找 打印 机 


如 果 AD DS 内 拥有 多 个 站 点 ， 并 且 每 个 站 点 内 都 有 许多 已 被 发 布 到 AD DS 的 共享 打印 机 


的 话 ， 则 通过 打印 机 位 置 可 让 用 户 来 查找 适合 其 使 用 的 共享 打印 机 。 
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1 常规 的 打印 机 位 置 查找 功能 


如 果 为 每 一 台 打印 机 都 设置 位 置 的 话 ， 则 用 户 可 以 通过 位 置 来 查找 位 于 指定 位 置 的 打印 
机 ， 例 如 图 12-3-4 中 的 打印 机 位 置 被 设置 为 第 1 栋 大 楼 ， 则 用 户 可 以 如 图 12-3-5 所 示 利 用 位 置 
来 查找 位 于 第 1 栋 大 楼 的 打印 机 。 


杀 Canon Injet 0278 Class Driver 属性 由 


屁 疯 共享 ”请 口 “高 吸 。 邮 色 管理 安全 。 设备 设 梧 


多 RE | 


图 123-5 


建议 在 打印 机 的 位 置 处 的 文字 采用 类 似 北京 /第 1 栋 大 楼 、 北 京 /第 2 栋 大 楼 的 格式 ， 它 让 
用 户 查 找 打 印 机 更 加 方便 、 有 弹性 ; 


让 如 果 用 户 要 查找 位 于 北京 /第 1 栋 大 楼 内 的 打印 机 时 ， 可 以 在 位 置 处 输入 北京 /第 1 林 大 
楼 。 
沁 ”如果 用 户 需要 同时 查找 位 于 北京 /第 1 栋 大 楼 与 北京 /第 2 栋 大 楼 的 打印 机 时 ， 他 只 需要 


在 位 置 处 输入 北京 即 可 ， 系 统 会 同时 查找 位 于 北京 /第 1 标 大 楼 与 北京 /第 2 栋 大 楼 的 打 
印 机 。 


3 高 级 的 打印 机 位 置 查找 功能 


用 户 在 利用 前 面 图 12-3-5 中 的 位 置 字段 来 查找 打印 机 时 ， 必 须 自行 输入 北京 /第 1 栋 大 楼 这 
些 文字 ， 如 果 我 们 能 够 事先 做 适当 设置 的 话 ， 就 可 以 让 系统 自动 为 用 户 在 位 置 字段 处 填 入 北 
京 /第 1 栋 大 楼 ， 让 用 户 更 方便 来 查找 合适 的 打印 机 。 

要 达到 上 述 目的 的 话 ， 必 须 为 每 一 个 AD DS 站 点 设置 位 置 ， 同 时 也 为 每 一 台 打 印 机 设置 
位 置 ， 以 图 12-3-6 为 例 来 说 明 。 
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Printerl Printer4 [Eee 
位 置 :北京 /第 1 栋 大 楼 位 置 : 北 京 /第 2 栋 大 ， 


SiteB 
192.168.9.0 
位 置 : 北 京 /第 2 栋 大 楼 


192.168.9.4/24 


SiteA 


ee 
192.168.8.0 


位 置 :北京 /第 1 栋 大 楼 


19.168.9.3124 医 


Printer2 92.168.8.3124 


位 置 :北京 /第 1 栋 大 楼 


Printer3 
位 置 ; 北 京 /第 2 栋 大 屡 


图 12346 


沁 站 点 SiteA 的 位 置 被 设置 为 北京 /第 1 栋 大 楼 ， 同 时 这 个 站 点 内 的 每 一 台 打 印 机 
(Printerl 与 Printer2 ) 的 位 置 也 被 设置 为 北京 /第 1 林 大 楼 。 

沪 站 点 SiteB 的 位 置 被 设置 为 北京 /第 2 栋 大 楼 ， 同 时 这 个 站 点 内 的 每 一 台 打 印 机 
(Printer3 与 Printer4 ) 的 位 置 也 都 被 设置 为 北京 /第 2 栋 大 楼 .。 

久 由 于 站 点 SiteA 内 用 户 的 计算 机 (I 地 址 192.168.8.3/24 ) 是 位 于 SiteA 内 ， 而 SiteA 的 位 
杆 为 北京 /第 1 栋 大 楼 ， 因 此 当 这 个 用 户 在 查找 打印 机 时 ， 系 统 便 会 自动 在 查找 打印 
机 的 界面 中 的 位 置 字段 填 入 北京 /第 1 栋 大 楼 ， 不 需要 用 户 自 行 输入 ， 让 用 户 在 查找 
打印 机 时 更 为 方便 。 


以 上 功能 被 称 为 打印 机 位 置 跟踪 〈printer location tracking) ， 而 这 个 功能 的 设置 分 为 以 
下 四 大 步 又 : 


外 利用 组 策略 启用 “打印 机 位 置 趴 踪 ” 功 能 : 可 以 针对 整个 域内 的 所 有 计算 机 或 某 个 
组 织 单位 内 的 计算 机 来 启用 这 个 功能 : 【计算 机 配置 纺 策 略 马 管理 模板 全 打印 机 妈 如 
图 12-3-7 所 示 启 用 预 设 打 印 机 搜索 位 置 文本 】， 图 中 是 利用 Default Domain Policy 
GPO 来 针对 域内 的 所 有 计算 机 来 设置 。 
| 半 更 入 更 怕 到 将 内 汪 三 


文人 HP。 县 fFA) 查看 (V) 帮助 (H) 
和 中 | 大 四 | 己 | 目 加 | 了 
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En 
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EE 


图 12-3-7 


外 利用 “Active Direetory 站 点 和 服务 ”建立 1P 子 网 : 例如 图 12-3-8 中 建立 了 192.168.8.0 
与 192.168.9.0 两 个 [P 子 网 ， 它 们 分 别 被 归纳 在 SiteA 与 SiteB 内 


3 图 
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盎 Active Directory 站 点 和 服务 一 TIE 了 三 
天， 生生 
和 中 | 直 轩 | 国 转 芭 | 回 四 | 避 
本 Active Directory 站 点 和 服务 [dclsaymsjocal 
~ 习 sies 六 
》 璋 InterSite Transports 
YI 
》 押 192168.8.0124 
》 提 192168.9.0124 
》 国 DefeulFrst-sie-Name 
> 转 sheA 


二 > 


图 12.3-8 
护 设 置 每 一 个 IP 子 网 的 位 置 : 如 图 12-3-9 所 示 【 单 击 192.168.8.0 子 网 纺 单 击 上 方 的 属性 


图 标 纺 点 选 位 置 选项 卡 驴 在 位 置 处 输入 北京 /第 1 栋 大 楼 〗。. 继续 将 第 2 个 子 网 
192.168.9.0 的 位 置 设置 为 北京 /第 2 栋 大 楼 。 


上 Active Directory 站 点 和 酸 务 二 -开交 " 记 于 
2 号 FA 生生 eg 
和 中 | 二 硬 | 其 国 包 可 | 四 加 | 下 
最 Actve pyecdtory 站 和 服务 叮 
v 司 Sus 192.168.8.0124 尾 性 ， ? X 
》 国 ntershe Transports 人 
v 冲 常规 对 入 。 支 全 。 于 疆 并 名 淖 


和 192168.80124 

》 间 192168.90124 者 
) 国 Defauk-Frst-Site-Namd 
>》 国 sheA 


ES 二 
SEE wa (GE [Re- 
图 12339 


习 设置 每 一 台 计算 机 上 的 打印 机 的 位 置 : 【选中 打印 机 并 右 击 双打 印 机 属性 (以 
Windows Server 2016 为 例 ) 幻 如 图 12-3-10 所 示 在 位 置 处 输入 其 位 置信 息 】， 图 中 为 
SiteA 内 某 一 台 打印 机 的 位 置 。 也 可 以 单 击 强 顺 按 钮 未 选择 位 置 ， 不 过 第 1 个 步骤 中 
的 组 策略 设置 需要 已 应 用 到 此 计算 机 后 ， 才 会 出 现 骨 盎 访 包 . 


厢 Canon inkgjet 0278 Class Driver 屋 性 X 
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也 可 以 通过 Windows Server 2016 的 打印 管理 控制 台 来 集中 设置 每 一 台 打 印 机 的 位 置 ， 可 


以 通过 安装 文件 和 打印 服务 工具 功能 的 方式 来 拥有 打印 管理 控制 合 。 安 装 完成 后 ， 可 通 
_ 过 【 单 击 在 下 角 开 始 图 村 时 9Windows 管理 工具 3 打印 和 理 ] 来 使 用 此 控制 合 。 


完成 以 上 设置 后 ， 客 户 端 用 户 在 查找 打印 机 时 ， 系 统 就 会 自动 为 用 户 在 位 置 处 填 入 正确 
的 位 置 字符 串 ， 如 图 12-3-11 所 示 。 


国 可 发 打 Bl 册 口 “X 
文大 总 日 下 看 (V) 一 en 
arC En | am 启 SR | | DLL | 
BDI 条 负 
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图 123-11 
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第 13 章 自动 信任 根 CA 
在 PKI (Public Key Infrastructure ， 公 钥 基 础 结构 ) 的 架构 下 ， 企 业 可 以 通过 向 CA 
(Certification Authority， 证 书 颁 发 机 构 ) 所 申请 到 的 证 书 ， 来 确保 数据 在 网 络 上 传送 的 安全 
性 ， 然 而 用 户 的 计算 机 需要 信任 发 放 证 书 的 CA。 本 章 将 介绍 如 何 通过 AD DS 的 组 策略 ， 来 让 


域内 的 计算 机 自动 信任 指定 的 根 CA (root CA) 。 


汉 自动 信任 CA 的 设置 准则 
汉 自 动 信任 内 部 的 独立 CA 
沁 自动 信任 外 部 的 CA 
克 
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13.1 自动 信任 CA 的 设置 准则 


可 以 通过 AD DS 组 策略 〈group polticy) ， 来 让 域内 所 有 计算 机 都 自动 信任 指定 的 根 CA， 
也 就 是 自动 将 这 些 根 CA 的 证 书 发 送 、 安 装 到 域内 所 有 计算 机 。 


浊 如 果 是 企业 根 CA ( enterprise root CA ) 。 则 不 需要 另外 设置 组 策略 ， 因 为 AD DS 会 
自动 通过 组 策略 将 企业 根 CA 的 证 书 发 送 到 域内 所 有 计算 机 ， 也 就 是 说 域内 所 有 计算 
机 都 会 自动 信任 企业 根 CA。 

浊 如 果 是 安装 在 成 员 服务 器 上 的 独立 根 CA (stand-alone root CA ) ， 而 且 是 由 具备 访问 
AD DS 权 限 的 域 系 统管 理 员 所 安装 的 ， 则 也 不 需要 另外 设置 组 策略 ， 因 为 AD DS 会 
自动 通过 组 策略 将 此 独立 根 CA 的 证 书 发 送 到 域内 所 有 计算 机 。 

浊 如 果 是 安装 在 独 诗 服务 器 的 独立 根 CA， 是 安装 在 成 员 服务 器 上 的 独立 根 CA 但 执行 
安装 工作 的 用 户 不 具备 访问 AD DS 的 权限 ， 则 需要 另外 通过 受信 任 的 根 证 书 颁 发 机 
构 策 略 (trusted root certificate authority policy ) ， 来 将 此 独立 根 CA 的 证 书 自动 发 送 
到 域内 所 有 计算 机 。 

浊 如 果 不 是 搭建 在 公司 内 部 的 独立 根 CA， 而 是 外 界 的 独立 根 CA， 则 需要 另外 通过 企 
业 信 任 策略 (enterprise trust policy) ， 来 将 此 独立 根 CA 的 证 书 自动 发 送 到 域内 所 有 
计算 机 。 


IEED 


Windows 计 算 机 只 要 信任 了 根 CA， 它 们 默认 就 会 自动 信任 根 CA 之 下 所 有 的 二 级 CA 
{ subordinate CA ) 。 


我 们 将 针对 后 面 两 种 情况 ， 说 明 如 何 利用 受信 任 的 根 证 书 颁 发 机 构 策 略 与 企业 信任 策 
略 ， 来 让 域内 的 计算 机 自动 信任 我 们 所 指定 的 独立 根 CA。 


13.2 ”自动 信任 内 部 的 独立 CA 


如 果 公 司 内 部 的 独立 根 CA 是 利用 Windows Server 的 Acetive Direetory 证 书 服务 所 搭建 的 ， 
而 且 是 安装 在 独立 服务 器 ， 或 是 安装 在 成 员 服务 器 但 执行 安装 工作 的 用 户 不 具备 访问 AD DS 
权限 的 话 ， 则 需要 通过 受信 任 的 根 证 书 颁 发 机 构 策略 来 将 此 独立 根 CA 的 证 书 ， 自 动 发 送 到 域 
内 的 计算 机 ， 也 就 是 让 域内 的 计算 机 都 自动 信任 此 独立 根 CA。 我 们 将 利用 以 下 两 大 步骤 来 练 
习 将 名 称 为 ServerlStandalone Root CA 的 独立 根 CA 的 证 书 ， 自 动 发 送 到 域内 的 所 有 计算 机 。 


当 下载 独 立根 CA 的 证 书 并 保存 - 
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久 将 独立 根 CA 的 证 书 导 入 到 受信 任 的 根 证 书 颁发 机 构 策略 - 


13.2.1 下载 独 立根 CA 的 证 书 并 保存 

STEP 秋 ”请 到 域 控制 器 或 任何 一 合计 算 机 上 运行 网 页 浏览 器 ， 并 输入 以 下 的 URL 路 径 : 
和 cp:V7CR 的 主机 名 、 计 算 机 名 称 或 IP 地 址 /certsrv 
以 下 利用 JP 地址 来 举例 ， 并 假设 CA 的 IP 地 址 为 192.168.8.31。 


FED 


如 果 是 在 Windows Server 上 执行 nternet Explorer 的 话 ， 可 暂时 先 将 其 IE 增强 的 安全 配置 
(IE ESC ) 禁用 ， 和 否则 系统 会 阻挡 连接 CA 网 站 : 【 打开 服务 器 管理 器 3 单 击 本 地 服务 
器 3 单 击 正 增 强 的 安全 配置 2.… 】 。 


STEP 回 ”在 图 13-2-1 中 单 击 下 载 CA 证 书 、 证 书 链 或 CRL。 


四 Sai 元 可 BE ss 
鸡 闻 使 用 


合用 上 网 站 为 69 Web 洒 呈 要， 电子 部 村 各 记名 或 号 他 入 申请 证 书 ， 关 过 全 南下 书 ， 你 可 以 内 通 过 Wieb 
| 进行 通信 的 用 户 太 人 9 身份， 签名 并 加 本 最 件 ,并 根据 你 申请 的 蔬 炎 开 执行 其 他 安全 任务 ， 


| SemiTWREWRKCA)G， 丰 和 乓 RECRL ,或 下 让 9 


| 有关 Adtve pieddory 下 可 和 的 if 他 和 主旨 伺 Aclive Directony 这 忆 量 务 六 拘 
至 一 人 任务 


图 13-2-1 
STEP 回 。 在 图 13-2-2 中 单 击 下 载 CA 证 书 或 下 载 CA 证 书 链 。 


T 开 愉 区 斤 证 Bi 本 cRL 
首要 人 从 这 三 书 有 ut 的 下 书本 安 革 比 CA 证 - 
要 下 可 -个 CA 还 书证 书 或 CRL , 寺 择 证 书 和 方法 - 


图 13-22 


辆 : 
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STEP 四 。 请 通过 接 下 来 的 界面 将 下 载 的 CA 证 书 保存 到 本 地 
外 如 果 前 一 个 步骤 中 选择 下 载 CA 证 书 ， 则 会 将 其 文件 名 设置 为 certnew.cer ( 包含 证 
书 J。 
匀 如 果 前 一 个 步骤 中 选择 下 载 CA 证 书 链 ， 则 会 将 其 文件 名 设置 为 certnew.p7b 的 文件 
( 包含 证 书 与 证 书 路 径 ) 。 


IEED 


如 果 计 算 机 的 根 证 书 存储 区 域 ( root store ) 内 已 经 有 该 CA 的 证 书 ， 也 就 是 此 计算 机 已 经 
信任 该 CA 的 话 ， 则 可 以 利用 另外 一 种 方式 来 将 CA 的 证 书 文件 , 【 按 田 + 国 刍 2 输入 
control 后 按 项 加 键 3 网 络 和 Internet3Internet 选 项 3 选择 属性 选项 卡 3 单 击 和 十 章 护 钮 2 
如 图 13-2-3 所 示 选 择 受 信任 的 根 证 书 颁发 机 构 选项 卡 3 选 择 CA 的 证 书 3 单 击 可 型 接 钮 ] 。 


| 国 wMpeaowwaaaneeaaesid。 Microsoft Authenti。 2000111 Microsoftaut- | 
加 MierosoftRootAuthorig 。。。 Microroft Root au- 2020112 Microroft Roo-。 

园 Microvof Root Cerificate iu Microxof Root Ce 202115/-， MicrosoftRoc 
团 Microxok Root Certfcate Au， Microroftkoot Ce。 2035/a-” Microxoftoc- 用 
围 Mierosof Root Ceriicate Au， Microsoft Root Ce 。 203613/-。 Mierosof Ra_， | 


团 NO UABILTY ACCEPTED. 全 -NO HABIUTY ACC-。 2004/V8 ”Verisign Time -… 
| 国 symentec Enterprise Mobile -Symantec Enterpri-，。 2032131-。 < 无 > 
| 呈 Thewie Timestamping CA Thawte Timestamp。 20211T Thawmte Tinest- 趾 
上 到 


[SO Ce ) | ee 


图 1323 


13.2.2 “将 CA 证 书 导 入 到 受信 任 的 根 证 书 颁 发 机 构 


假设 要 让 域内 所 有 计算 机 都 自动 信任 前 述 的 独立 根 CA: ServerlStandalone Root CA， 而 
且 要 通过 Default Domain Policy GPO 来 设 署 。 


IEED 


如 果 仅 是 要 让 某 个 组 织 单 位 内 的 计算 机 来 信任 前 述 独立 根 CA 的 话 ， 请 通过 该 组 织 单位 
的 GPO 来 设置 。 


STEP 回 。。 到 域 控 制 器 上 【 单 击 堪 下 角 开 始 图 标 因 3 Windows 篇 理工 具 3 组 策略 管理 纺 如 图 13-2-4 
所 示 展 开 到 域 sayms.local 纺 选中 Default Domain Policy 并 右 击 2 编辑 ] 。 
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图 1324 


STEP 回 
受信 任 的 根 证 书 颁发 机 构 并 右 击 2 导入 】。 


如 图 13-2-5 所 示 【 展开 计算 机 配置 策略 3Windows 设 置 安 全 设置 3 公 钥 策略 2 选中 


忆 坦 拓 天 合理 纺 委 汪 
和 中 | 十 呈 | 口 | 瑟 到 | 目 串 


本 大 网 辣 (EEE 802 届 | | 对 多 吉 
7 曾 高 @ 全 Wndows 防 X。 | )0 闪 文件 生 统 
了 网 站 列表 全 于 是 和 本 ms 本 扩 

》 嫩 ERanEEE ao211 类 | 四 
四 


BiLoccer 下 动 本 本 


图 13.25 


STEP 回 。 出 现 欢迎 使 用 证 书 导 入 向 导 界面 时 单 击 请 到 以 钮 。 
STEP 四 。 在 图 13-2-6 中 选择 之 前 下 载 的 CA 证 书 文件 后 单 击 请 生境 按 钮 ， 图 中 我 们 选择 包含 证 书 


与 证 书 路 径 的 .p7b 文 件 。 


个 区 iEA 内 导 


文人 名 (FF 


CserswdministatonDeskdopYertnewp7b 


广 本 :用 下 列 必 可 以 在 一 个 文 件 中 季 三 务 个 证 长 
个 人 入 昌 交接- PKCS 12 CPPXP12 
加 本 消 间 法 标准 - PKCS #7 证 书 [P7B) 


图 13-26 


第 13 章 自动 信任 根 CA | 时 时 


STEP 回 在 图 13-2-7 中 单 击 请 到 拉 钮 。 


所 ESNS 


人 下 尖 弄 . 鳃 法 棕 下 书 存 但 [U 
后 格 所 有 的 证 书 莉 放 入 下 列 存 傍 (P) 
证 书 存 绊 - 


受 全 EE9 税 证 书 及 闪 机 闪 Te 
图 13.2.7 

STEP 回 。 出 现 正在 完成 证 书 导入 向 导 界面 时 单 击 吓 避 拉 钮 。 

STEP 园 。 图 13-2-6 为 完成 后 的 界面 。 

正清 桔 百 孙 开 右 硬 一 口 和 


六 fr 本 TEA 8 碍 W) 
中 | 二 亲口 | 立 壮 | 目 巴 


图 13-2-8 
完成 以 上 步骤 后 ， 域 内 所 有 计算 机 在 应 用 这 个 策略 后 ， 它 们 就 都 会 自动 信任 上 述 的 独立 
根 CA。 也 可 以 在 每 一 台 成 员 计 算 机 上 执行 gpupdate /force 命 令 来 快速 应 用 此 策略 ， 然 后 通过 
以 下 方法 来 检查 这 些 计算 机 是 否 已 经 信任 这 人 台 名 称 为 ServerlStandalone Root CA 的 独立 根 
CA: 【 按 田 + 鸭 键 2 输 入 control 后 按 国 国 键 2 网 络 和 Internet2Internet 选 项 3 单 击 属性 选项 卡 
2 单 击 钰 国术 钮 2 如 图 13-2-9 所 示 单 击 受信 任 的 根 证 书 颁发 机 构 选 项 卡 】， 由 图 中 可 知 此 计 
算 机 《假设 是 Windows 10 客 户 端 ) 已 经 信任 此 独立 根 CA。 


-| Windows Server 2016 Active Directory 配置 指南 
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国 Symantec Eterprise Mabie Symantec Enterpr 人 
团 rhewe Tamestampirg CN Themte Timesamp_，20211WT Thewe Te 用 
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13.3 ”自动 信任 外 部 的 CA 


可 以 让 域内 所 有 计算 机 都 自动 信任 位 于 外 部 的 根 CA， 其 方法 是 先 建立 证 书信 任 列表 
(Certificate Trust List，CTL) ， 然 后 通过 企业 信任 策略 来 将 证 书信 任 列表 内 所 有 根 CA 的 证 
书 发 送 到 域内 所 有 计算 机 ， 让 域内 所 有 计算 机 都 自动 信任 这 些 根 CA。 

虽然 外 部 的 根 CA 可 以 发 放 各 种 不 同 用 途 的 证 书 ， 例 如 用 来 保护 电子 邮件 的 证 书 、 服 务 器 
验证 的 证 书 等 ， 可 是 有 时 候 只 希望 信任 此 根 CA 所 发 放 的 证 书 只 能 够 用 在 单一 用 途上 ， 例 如 服 
务 器 验证 ， 其 他 用 途 一 概 拒绝 信任 ， 这 些 设置 也 是 一 并 通过 证 书信 任 列表 来 完成 。 

以 下 将 建立 一 个 证 书信 任 列表 来 让 域内 所 有 计算 机 都 自动 信任 名 称 为 Extemal Standalone 
Root CA 的 独立 根 CA， 不 过 只 信任 其 用 在 服务 器 验证 的 单一 用 途上 。 

首先 需要 取得 此 独立 根 CA 的 证 书 ， 然 后 因为 证 书信 任 列表 必须 经 过 签名 ， 故 还 需要 申请 
一 个 可 以 用 来 将 证 书信 任 列表 签名 的 证 书 。 我 们 将 通过 以 下 三 大 步骤 来 练习 : 

外 下载 独 立根 CA 的 证 书 并 保存 - 

说 申请 可 以 将 证 书信 任 列表 签名 的 证 书 ， 

久 建立 证 书信 任 列表 (CTL ) 。 


13:3:1 ”下载 独 立根 CA 的 证 书 并 保存 


下 载 名 称 为 Extermal Standalone Root CA 的 独立 根 CA 的 证 书 并 保存 ， 假 设 其 文件 名 为 
ExtCertnew.p7b: 


浊 如 果 这 台独 立根 CA 是 利用 Windows Server 的 Active Direetory 证 书 服务 所 搭建 的 ， 则 
其 操作 方法 与 13.2.1 节 相同 ， 请 前 往 参 考 。 


国 
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站 如 果 这 台 根 CA 是 利用 其 他 软件 所 搭建 的 ， 则 请 参考 该 软件 的 文件 来 操作 。 

申请 可 以 将 证 书信 任 列表 签名 的 证 书 

由 于 证 书信 任 列表 需要 经 过 签名 ， 因 此 必须 申请 一 个 可 以 将 证 书信 任 列表 签名 的 证 书 。 
假设 要 向 名 称 为 Sayms Enterprise Root CA 的 企业 根 CA 申请 此 证 书 。 
STEP 人 各 。 请 到 域 控制 器 上 登录 ， 然 后 暂时 将 浏览 器 [Ra 二 


的 本 地 Intranet 的 安全 级 别 降 为 低 ( 否则 | 商 六 厦 评 是 本 总 
CA 网 站 需 拥 有 SSL 证 书 ， 并 且 向 CA 网 站 


申请 证 书 时 需要 采用 https ) ; 【 单 击 左下 六 iS. | 
角 开始 图 标 因 忆 控制 面板 2 网 络 和 区 人 | 
Internet2Internet 选 项 忆 如 图 13-3-1 单 击 
安全 选项 卡 纺 单 击 本 地 Intranet3 将 安全 


淮 J ia 


等 级 别 调整 为 低 】。 世人 人 NU 
at 2 
STEP 回 假设 要 向 名 称 为 Sayms Enterprise Root CA 能 
的 企业 根 CA 申 请 用 来 将 证 书信 任 列表 签 0 
名 的 证 书 ， 因 此 请 将 此 企业 根 CA 网 站 加 5) 2 
入 到 本 地 Intranet;，【 单 击 前 面 图 13-3-1 rape 
右 侧 柱 重 撤 钮 3 单 击 图 13-3-2 中 的 可 现 技 图 1331 


钮 2 在 前 景 图 中 将 http/192.168.8.1/ 加 入 
此 区 域 后 单 击 轴 辆 、 单 击 两 次 猫 灵 技 钮 】， 图 中 假设 192.168.8.1 是 企业 根 CA 的 卫 地 


址 。 
本 雹 Intranet 习 
FeTossmm [ 该 区 城中 的 所 有 网 站 部 便 用 区 虐 的 冯 
AR 
学 格 访 网 站 二 加 到 区 域 (D 
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图 1332 
STEP 在 浏览 器 内 输入 网 址 http://192.168.8.1/certsrv/。 
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IE 


如 果 出 现 Windows 安 全 界面 的 话 ， 请 输入 域 系统 管理 员 的 用 户 账 户 | sayms\ 
administrator ) 与 密码 。 


STEP 罗 。 在 图 13-3-3 中 选择 申请 证 书 、 高 级 证 书 申请 、 创 建 并 向 此 CA 提交 一 个 申请 。 


有 关 Active Directo 
Ga 


攻 二 3 


图 3-33 
STEP 回 。 接 下 来 的 两 个 界面 都 单 击 晤 g 刚 拉 钮 。 


[ET 是 Lesehhitiataadadneamaeg) 


同 自 动 硼 容 拓 各 称 “用户 检定 的 到 得 容 短 名称 
后 奈 忆 表 坟 可 导 册 | 
口 启用 可 和 胡 保 护 


图 1334 


STEP 园 。 接 下 来 的 两 个 界面 都 单 击 是 g 国 别人 钮 。 
STEP 回 。 在 图 13-3-5 中 单 击 安装 此 证 书 。 


国 :4 
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图 133-5 


STEP 回 。” 将 本 地 Intranet 的 安全 级 别 恢复 为 原 级 别 ( 默认 为 中 低 ) 。 


13.3.2 ”建立 证 书信 任 列表 〈CTL) 


以 下 所 要 建立 的 证 书信 任 列表 (CTL) 内 包含 名 称 为 External Standalone Root CA 的 外 
部 独立 根 CA 的 证 书 ， 也 就 是 要 让 域内 所 有 计算 机 都 自动 信任 此 独立 根 CA， 而 我 们 将 通过 


Default Domain Policy GPO 来 设置 。 


STEP 税 到 域 控制 器 上 【 单 击 左下 角 开 始 


图 


标 田 23Windows 管理 工具 2 组 策略 管理 2 如 图 13-3- 


6 所 示 展 开 到 域 sayms.local 人 选中 Default Domain Policy 并 右 击 23 编辑] 。 


局 np 由 ae， 下 Mg mp 
和 中 | 天 着 | X 瑟 | 四 到 
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图 13346 
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STEP 回 。 出现 欢 迎 使 用 证 书信 任 列表 向 导 界 面 时 单 击 请 间接 钮 。 
STEP 四 在 图 13-3-8 中 勾 选 CTL 的 用 途 ( 服务 器 身份 验证 ) 后 单 击 文 到 尽 钮 。 


CE 


加 | 


[ne Eee 
图 1338 
STEP 回 。” 在 图 13-3-9 中 点 击 从 文件 添加 按钮 。 


[ee | [Cap| 后 古寺 ER 四 


图 13-39 


STEP 回 ”图 13-3-10 中 选择 外 部 独立 根 CA ( External Standalone Root CA ) 的 证 书 文件 后 ， 单 击 


于 sa. 


加 3 开 X 
-个 国 ，tR 隔 ， 才 本 现实 直面- 己 
二 吕 ”新 建文 什 交 E” 口 @ 


了 a 计 


图 13-3-10 


第 13 章 自动 信任 根 CA ”| 里 轩 
STEP 回 。 加 到 图 13-3-11 的 界面 时 单 击 戎 汪 潮 全 钮 


X 
en 


图 133-11 
STEP 回 ”在 


13-3-12 中 【 单 击 山 党 请 区 正清 按钮 2 选择 我 们 在 前 面 申请 用 来 对 CTL 签 名 的 证 书 
2 单 击 太 汪 拉锯 ] 。 


we 国 攻 一 一 
确认 证 书 
十 间 赴 / 克 主 -机 让 此 和 证书， 如 果 这 不 是 正确 的 古 蔬 ， 则 的 
[了 

Adninatrator 


颁发 竺 Syem Enterprige Root CA 
和 2 险 201817122 至 2019/7122 


图 13-3-12 
STEP 回 。 接 下 来 的 两 个 界面 都 直接 单 击 睛 汪汪 习 钮 。 


STEP E 加 在 图 13-3-13 中 为 此 列表 设置 好 记 的 名 称 与 描述 后 单 击 决 半 浊 以 钮 


5 
让 
CsdnTRte cn 
CTL 有 入 一 个 如 了 和 名称， 
CC 
ESID 
图 133.3 
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STEP 8 出 现 正在 完成 证 书信 任 列表 向 导 界面 时 单 击 是 误 撤 钮 、 单 击 狂 洁 按 钮 。 
STEP 玫 四。 图 13-3-14 为 完成 后 的 界面 。 


三 所， 全 
] 
中 吊 | 声 对 | 口 | 豆 侣 | 旧闻 


尼 于 
(Raninierao。 20ta/7/22 。 服 和 各 9 人 验 正 立 个人 


图 133-14 
完成 以 上 步骤 后 ， 域 内 所 有 计算 机 在 应 用 这 个 策略 ， 它 们 就 都 会 自动 信任 上 述 的 外 部 独 
立根 CA。 可 以 到 每 一 台 计 算 机 上 执行 gpupdate /force 命 令 来 快速 应 用 此 策略 ， 然 后 在 这 些 计 
算 机 上 通过 自 定 义 本 地 计算 机 的 证 书 管理 控制 台 来 检查 它们 是 否 已 经 取得 这 个 证 书信 任 列 
表 。 如 图 13-3-15 所 示 为 已 经 成 功 取 得 此 列表 的 界面 。 


局 过 抽 各 1 - 上 抽 入 上 \ 正 节 - 当前 用 户 \ 企 业 信 fEViE 书 信任 列 要 | = 蝇 
属 文 fHD。 一 f#IA) 亚 看 (/ 疏 三 夫 (O) 神 口 [W) 于 取 (H) 二 _ 二 林 册 
个 中 [二 到 | 日 | 区 号 | 目 疝 
本 扩 W 生 t 和 二 者 二 
证- 当前 用 户 Administrator 。 2018/7122 。 李 务 亚 身 份 验 证 ”外 部 久 立 根 CA 证 书信 任 列表 , 


图 33-15 


通过 证 书信 任 列表 所 信任 的 CA 证 书 ， 并 不 会 显示 在 用 户 计算 机 的 受信 任 的 根 证 书 颁发 
机 构 存储 区 。 


可 以 将 此 CTL 导 出 保存 ， 其 方法 为 【选中 此 CTL 并 右 击 3 所 有 任务 导 出 】， 以 后 需要 
使 用 时 可 以 再 通过 【选中 企业 信任 并 右 击 导 入 】 的 方法 来 将 其 导入 。 


辆 :so 


附录 A_ A 


D DS 与 防火 墙 


如 果 两 台 域 控制 器 之 间 ， 或 域 控制 器 与 成 员 计算 机 之 间 ， 被 防火 墙 隔 天 


理 员 必 须 了 解 的 好 


匀 AD DS 相 关 的 端口 
站 限制 动态 RPC 端 口 的 使 用 范围 
包 IPSec 与 VPN 端 口 


f 的 话 ， 则 如 何 让 
AD DS 数 据 库 复 制 、 用 户 身份 验证 、 网 络 资源 访问 等 行为 穿越 防火 墙 的 阻隔 ， 便 成 为 系统 管 
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A.1 AD DS 相 关 的 端口 


不 同 的 网 络 服务 会 使 用 到 不 同 的 TCP 或 UDP 端口 (port) ， 如 果 防 火 墙 没有 开放 相关 端口 
的 话 ， 将 造成 这 些 服务 无 法 正常 运行 。 我 们 先 在 表 A-1-1 中 列 出 AD DS 《〈Active Directory 域 
服务 ) 一 些 相关 的 服务 与 其 所 占用 的 TCPVUDP 端 口号 码 ， 然 后 再 说 明 这 些 服务 的 使 用 场合 。 


表 A-1-1 
服务 TCP 端 吕 | upP 岗 6 
RPC Endpoint Mapper 135 
Kerberos 88 88 
LDAP 389 389 
LDAPS (LDAP overSSL) 636 636 
LDAP GC 〈LDAP Global Catalog) 3268 
LDAPS GC (LDAP Global Catalog over SSL) 3269 
SMB (Microsoft CIFS) 445 
DNS 53 53 
Network Time Protocol (NTP) 123 
AD DS 数 据 库 复制 、 文 件 复制 服务 (FRS) 、 分 布 式 | 使 用 动态 端口 : 需要 限制 
文件 系统 (DFS) 等 服务 端口 范围 或 更 改 为 静态 端口 
NetBIOS Name Service i37 
NetBIOS Datagram Service 138 
NetBIOS Session Service 139 


| 如 果 为 了 降低 开放 端口 的 复杂 性 、 确 保 所 有 与 AD DS 有 关 的 工作 都 能 够 正常 运行 的 话 ， 


可 以 将 以 下 所 提 到 的 端口 全 部 开放 。 二 生 ear 企业 = 的 aa 
A.1.1 ”将 客户 端 计 算 机 加 入 域 、 用 户 登录 时 会 用 到 的 端 吕 、 

将 客户 端 计算 机 加 入 域 、 用 户 登 录 时 会 用 到 以 下 的 服务 ， 因 此 如 果 客 户 端 计算 机 与 域 控 
制 器 之 间 被 防火 墙 隔 开 的 话 ， 请 在 防火 墙 开 放 以 下 的 端口 : 


Microsoft CIFS: 445/TCP 
Kerberos: 88/TCP、88/UDP 
DNS: 53/TCP、53/UDP 
LDAP: 389/TCP、389/UDP 


区区 区 匡 


国 :sz 
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阅 Netlogon 服务: NetBIOS Name Service ( 137UDP ) /NetBIOS Datagram Service 
(138/UDP ) /NetBIOS Session Service ( 139/TCP ) 与 SMB (445/TCP ) 


A.1.2 ”计算 机 登录 时 会 用 到 的 端 互 


计算 机 登录 到 域 控制 器 时 会 用 到 以 下 的 服务 ， 因 此 如 果 域 成 员 计 算 机 与 域 控制 器 之 间 是 
被 防火 墙 隔 开 的 话 ， 请 在 防火 墙 开放 以 下 的 端口 : 


包 Microsoft CIFS: 445/TCP 
匀 Kerberos: 88/TCP、8&/UDP 
外 LDAP: 38%/UDP 

包 DNS: 53/TCP、53/UDP 


A.1.3 ”建立 域 信任 时 会 用 到 的 端口 


位 于 不 同 林 的 域 之 间 在 建立 快捷 方式 信任 、 外 部 信任 等 显 性 的 信任 〈explicit trust) 关系 
时 ， 会 用 到 以 下 的 服务 ， 因 此 如 果 这 两 个 域 的 域 控 制 器 之 间 是 被 防火 墙 隔 开 的 话 ， 请 在 防火 
墙 开放 以 下 的 端口 ; 


Microso 信 CIFS: 44S/TCP 

Kerberos: 88/TCP、8&8UDP 

LDAP: 389/TCP、389/UDP 

LDAPS: 636/TCP ( 如 果 使 用 SSL 的 话 ) 
DNS: 53/TCP、53/UDP 


区 区 区 区 区 


不 同 域 的 域 控制 器 之 间 在 验证 信任 关系 时 会 用 到 以 下 的 服务 ， 因 此 如 果 这 些 域 控制 器 之 
间 是 被 防火 墙 隔 开 的 话 ， 请 在 防火 墙 开放 以 下 的 端口 ; 


Microsoft CIFS: 445/TCP 

Kerberos: 88ITCP、88/UDP 

LDAP: 389/TCP、389/UDP 

LDAPS: 636/TCP ( 如 果 使 用 SSL 的 话 ) 

DNS: 53/TCP、53/UDP 

Netlogon 服务 : NetBIOS Name Service ( 137/UDP ) /NetBIOS Datagram Service 
(138/UDP ) /NetBIOS Session Service ( 139/TCP ) 与 SMB ( 445/TCP ) . 


区 区 区 区 区 区 
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A.1.5 “访问 文件 资源 时 会 用 到 的 端 甩 


访问 文件 资源 时 所 使 用 的 服务 为 SMB 〈445/TCP) 或 NetBIOS Name Service (137/UDP) 
/NetBIOS Datagram Service 〔138/UDP) /NetBIOS Session Service (139/TCP) ， 因 此 如 果 用 户 
的 计算 机 与 资源 所 在 的 计算 机 是 被 防火 南 隔 开 的 话 ， 请 在 防火 墙 开放 这 些 服务 的 端口 。 


A.1.6 执行 DNS 查询 时 会 用 到 的 端口 


如 果 要 通过 防火 墙 来 向 DNS 服务 器 提出 查询 请 求 的 话 ， 例 如 查询 域 控 制 器 的 趾 地 址 ， 就 
需要 开放 DNS 服务 的 端口 : 5S3/TCP 与 53/UDP。 


A.1.7 执行 AD DS 数 据 库 复制 时 会 用 到 的 端 吕 


两 台 域 控制 器 之 间 在 进行 AD DS 数 据 库 复 制 时 会 用 到 以 下 服务 ， 因 此 如 果 这 两 台 域 控制 
器 之 间 被 防火 墙 隔 开 的 话 ， 请 在 防火 墙 开放 以 下 端口 : 


包 AD DS 数 据 库 复制 
它 不 是 使 用 静态 RPC ( Remote Procedure Call ) 端口 ， 而 是 使 用 动态 RPC 端 口 (其 范 
国 为 49152 ~ 65535 之 间 ) ， 此 时 我 们 要 如 何 来 开放 端口 呢 ? 还 好 动态 RPC 端 口 可 以 
被 限制 在 一 段 较 小 的 范围 内 【参见 限制 所 有 服务 的 动态 RPC 端 口 范围 的 说 明 ) ， 因 
此 我 们 只 要 在 防火 墙 开放 这 一 小 段 范围 的 TCP 端 口 即 可。 
也 可 以 自行 指定 一 个 静态 的 端口 ， 参 见 限制 AD DS 数 据 库 复制 使 用 指定 的 静态 端口 
的 说 明 。 

包 RPC Endpoint Mapper: 135/TCP 

使 用 动态 RPC 端 口 时 ， 需 要 搭配 RPC Endpoint Mapper 服 务 ， 因 此 请 在 防火 墙 开放 此 

服务 的 端口 。 

Kerberos: 88/TCP、88/UDP 

LDAP: 389/TCP、389/UDP 

LDAPS:; 636/TCP ( 如 果 使 用 SSL 的 话 ) 

DNS: 53/TCP、53/UDP 

Microsoft CIFS，445S/TCP 


区 区区 区 长 


A:18 ”文件 复制 服务 (FRS) 会 用 到 的 端口 


如 果 域 功能 级 别 是 Windows Server 2008 以 下 的 话 ， 则 同一 个 域 的 域 控制 器 之 间 在 复制 
SYSVOL 文 件 夹 时 ， 会 使 用 FRS (File Replication Service) 。FRS 也 是 采用 动态 RPC 端 口 ， 因 
此 如 果 将 动态 RPC 端 口 限制 在 一 段 较 小 范围 内 的 话 〈 参 见 限 制 所 有 服务 的 动态 RPC 端 口 范围 


转 :s 
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的 说 明 ) ， 则 我 们 只 要 在 防火 墙 开放 这 段 范围 的 TCP 端 口 即 可 。 但 是 使 用 动态 RPC 端 口 时 ， 
需要 搭配 RPC Endpoint Mapper 服 务 ， 因 此 请 在 防火 墙 开放 RPC Endpoint Mapper: 135/TCP-。 
也 可 以 自行 指定 一 个 静态 的 端口 ， 参 见 限制 FRS 使 用 指定 的 静态 端口 的 说 明 。 


ATS9 分布 式 文件 系统 〖DFS 刀 大 用 到 的 端口 


如 果 域 功能 级 别 为 Windows Server 2008《〈 含 ) 以 上 的 话 ， 则 Windows Server 2008 〈 舍 ) 
以 上 的 域 控制 器 之 间 在 复制 SYSVOL 文 件 夹 时 需 利 用 DFS 复 制服 务 〈(DFS Replication 
Service) ， 如 果 这 些 域 控 制 器 之 间 是 被 防火 墙 隔 开 的 话 ， 请 在 防火 墙 开放 以 下 的 端口 ; 


LDAP: 389/TCP、389/UDP 

Microsoft CIFS: 44S/TCP 

NetBIOS Datagram Service: 138/UDP 

NetBIOS Session Service: 139/TCP 

Distributed File System ( DFS ) 

DEFS 也 是 采用 动态 RPC 端 口 ， 如 果 将 动态 RPC 端 口 限制 在 一 段 较 小 范围 内 的 话 (参见 
限制 所 有 服务 的 动态 RPC 端 口 范围 的 说 明 ) ， 则 只 要 在 防火 墙 开放 这 段 范围 的 TCP 
殉 口 即 可 。 

也 可 以 自行 指定 一 个 静态 的 端口 ， 参 见 限制 DFS 使 用 指定 的 静态 端口 的 说 明 。 

浊 RPC Endpoint Mapper: 135/TCP 

使 用 动态 RPC 端 口 时 ， 需 要 搭配 RPC Endpoint Mapper 服 务 ， 因 此 请 在 防火 墙 开放 此 
服务 的 端口 - 


人 AT.10 “其 他 可 能 需要 开放 的 端 一 

习 LDAPGC 、LDAPSGC: 3268/TCP、3269/TCP ( 如 果 使 用 SSL 的 话 ) 
假设 用 户 登 录 时 ， 负 责 验证 用 户 身份 的 域 控制 器 需要 通过 防火 墙 来 向 全 局 编 录 服务 
器 查询 用 户 所 隶属 的 通用 组 数据 时 ， 就 需要 在 防火 墙 开放 端口 3268 或 3269。 
又 例如 Microsoft Exchange Server 需 要 访问 位 于 防火 墙 另外 一 端的 全 局 编 录 服务 器 的 
话 ， 您 也 需要 开放 端口 3268 或 3269。 

外 Network Time Protocol (NTP) :123/UDP 
它 负 责 时 间 的 同步 ， 和 参见 第 10 章 关于 PDC 横 拟 器 操作 主机 的 说 明 。 

习 NetBIOS 的 相关 服务 : 137VUDP、138/UDP、139/TCP 


开放 这 些 瑞 口 ， 以 便 通过 防火 墙 来 使 用 NetBIOS 服 务 ， 例 如 支持 旧 客 户 端 来 登录 、 
浏览 网 上 和 邻居 等 ， 


区区 区 区 区 
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A.2 ”限制 动态 RPC 端 口 的 使 用 范围 


动态 RPC 端 口 是 如 何 工 作 的 呢 ? 以 Microsoft Office Outlook (MAPI 客 户 端 ) 与 Microsoft 
Exchange Server 之 间 的 通信 为 例 来 说 : 客户 端 Outlook 先 连接 Exchange Server 的 RPC Endpoint 
Mapper (RPC Locator Services，TCP 端口 135) 、RPC Endpoint Mapper 再 将 Exchange Server 
所 使 用 的 端口 〈 动 态 范围 在 49152~65535 之 间 ) 通知 客户 端 、 客 户 端 Outlook 再 通过 此 端口 来 
连接 Exchange Server。 

AD DS 数 据 库 的 复制 、Outlook 与 Exchange Server 之 间 的 通信 、 文 件 复制 服务 〈File 
Replication Service，FRS) 、 分 布 式 文件 系统 (Distributed File System，DFS ) 等 默认 都 是 使 
用 动态 RPC 端 口 ， 也 就 是 没有 固定 的 端口 ， 这 将 造成 在 防火 墙 配置 上 的 问题 ， 还 好 动态 RPC 
端口 可 以 被 限制 在 一 段 较 小 的 范围 内 ， 因 此 只 要 在 防火 墙 开放 这 段 范 围 的 端口 即 可 。 


A.2.1 限制 所 有 服务 的 动态 RPC 端 口 范围 


以 下 说 明 如 何 将 计算 机 所 使 用 的 动态 RPC 端 口 限 制 在 指定 的 范围 内 。 假 设 不 论 是 使 用 
IPv4 或 IPv6， 都 要 将 其 限制 在 从 8000 起 开始 ， 总 共 1000 个 端口 号 〈 端 口号 码 最 大 为 65535) 。 
打开 Windows PowerShell 窗 口 〈 或 命令 提示 符 ) 、 执 行 以 下 命令 〈 参 见 图 A-2-1) : 


1 


netsh int ipv4 set dynamicport tcp _ start = 8000 num = 1000 
netsh int ipv4 set dynamicport udp start = 8000 num = 1000 


netsh int ipv6 set dynamicport tcp start = 8000 num = 1000 
netsh int ipv6 set dynamicport udp start = 8000 num = 1000 


到 千 理 员 ; Windows powerShell 一 口 尖 


图 A-2-1 
如 果 要 检查 当前 动态 RPC 端 口 范围 的 话 ， 请 执行 以 下 命令 : 


netsh int ipv4 show dynamicport tcP 
netsh int ipv4 show dynamicport udp 
netsh int ipv6 show dynamicport tcp 


356 
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netsh int ipv6 show dynamicport Uudp 


如 图 A-2-2 所 示 为 显示 ipv4、tcp 通 信 协 议 的 动态 RPC 端 口 范围 。 


钵 管理 只: Windows PowerShell 二 /过 [名 


4 Show 中 maninpeorE 二 


图 A-22 
如 果 是 修改 域 控制 器 的 上 述 键 值 的 话 ， 请 随便 找 一 台 域 成 员 计算 机 来 与 这 人 台 域 控制 器 通 


然后 在 这 人 台 域 控制 器 上 打开 Windows PowerShell 窗 口 、 执 行 netstat-n 命 令 来 查看 此 域 控 
攻 所 使 用 的 端口 ， 此 时 应 该 可 以 看 到 某 些 服务 所 使 用 的 端口 是 在 我 们 所 设置 的 从 8000 


A.2.2 ”限制 AD DS 数 据 库 复制 使 用 指定 的 静态 端口 


域 控制 器 执行 AD DS 数 据 库 复 制 工作 时 ， 默 认 是 使 用 动态 RPC 端 口 ， 但 是 我 们 也 可 以 自 


行 指定 一 个 静态 的 端口 。 请 到 域 控制 器 上 执行 注册 表 编 辑 器 REGEDITEXE， 然 后 通过 以 下 路 
径 来 设置 


HKEY IOCAT MARCHINE\NSYSTEMANCurrentControlSet\ServicesNNTDSNParameters 


在 上 述 路 径 之 下 新 建 一 个 如 表 A-2-1 所 示 的 数值 ， 图 A-2-4 为 完成 后 的 界面 ， 图 中 我 们 将 
端口 号 码 设置 为 56789《〈 十 进 制 ) ， 注 意 此 端口 不 能 与 其 他 服务 所 使 用 的 端口 相同 。 
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表 A-2-1 
数值 名 称 数据 类 型 数值 
TCP/PP Port 二 和 自 定义 ， 例 如 56789 
站 CDWORD (32- 位 ) 值 ) 2 
| 本 注 本 到 写本 | 
文 f(F。 吉 扣 (FE)。 理 看 [V) 收 茂 去 (A) 帮助 (H) 用 - 二 4 
om || 名 称 和 2 要 到 光 
sipromy 出 sericeDhl REG_ EXPAND_SZ 。 %eystemrootSbNsystem32Wntds 
ER 项 Src Root Dom-，REG SZ delsaymslocal 
Sea | 玛 sre sr objecL-。 REG BINARY 各 和 fe7 doe9t1B4 95b1 
aa it Repiicati-。 REG_DWORD ou0o000001 0) 
perfommance 
RiD Values 
Song 三 
< 区 四 
HLOCLWCHNESYSIENGEREoECNEICNNTDSUanar 


图 A-24 


完成 后 重新 启动 ， 以 后 这 台 域 控制 器 在 执行 AD DS 数 据 库 复制 时 所 使 用 到 的 端口 将 会 是 
56789 (包含 IPv4 与 IPv6) 。 可 以 先 利 用 Active Directory 站 点 和 服务 来 手动 与 其 他 域 控制 器 之 
间 执行 AD DS 数 据 库 复制 的 工作 ， 然 后 在 这 台 域 控制 器 上 打开 Windows PowerShell 窗 口 、 执 
行 netstat-m 命 令 来 查看 其 所 使 用 的 端口 。 如 图 A-2-5 所 示 可 看 到 它 使 用 到 我 们 所 指定 的 端口 
56789〈 图 中 为 JPv4， 往 下 翻 还 可 看 到 IPv6) 。 


厅 香 理 号: Windows PowerShell 


图 A-25 


A.2.3， 限制 ERS 使 用 指定 的 静态 端口 


如 果 域 功能 级 别 是 Windows Server 2008 以 下 的 话 ， 则 同 
SYSVOL 文 件 夹 时， 会 使 用 FRS 〈File Replication Service ) 。FRS 默 认 也 是 采用 动态 RPC 端 
口 ， 但 是 我 们 也 可 以 自行 指定 一 个 静态 的 端口 。 请 到 域 控制 器 上 执行 注册 表 编 辑 器 


国 :ss 


-个 域 的 域 控制 器 之 间 在 复制 
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REGEDIT.EXE， 然 后 通过 以 下 路 径 来 设置 ， 

HEKEY_ IOCRL MACHINENSYSTEMNCUzrentControlSetNServicesNVNTERSVParameters 

请 在 上 述 路 径 之 下 新 建 一 个 如 表 A-2-2 所 示 的 数值 ， 表 中 我 们 将 端口 号 码 设置 为 45678 
(十 进 制 ) ， 注 意 此 端口 不 能 与 其 他 服务 所 使 用 的 端口 相同 。 完 成 后 重新 启动 。 以 后 这 台 域 
控制 器 的 FRS 服 务 所 使 用 的 端口 将 会 是 45678。 


表 A-2-2 
数值 名 称 数据 类 型 数值 
RPC TCPJIP Port Assignment REG_DWORD 自 定义 ， 例 如 45678 


A.2.4 ”限制 DFS 使 用 指定 的 静态 端口 


如 果 域 功能 级 别 为 Windows Server 2008《〈 含 ) 以 上 的 话 ， 则 Windows Server 2008 〈 含 ) 
以 上 的 域 控制 器 之 间 在 复制 SYSVOL 文 件 夹 时 需要 利用 DFS 复 制服 务 ， 而 它 也 是 采用 动态 
RPC 端 口 ， 但 是 我 们 可 以 将 其 固定 到 一 个 静态 的 端口 。 请 到 域 控制 器 上 打开 Windows 
PowerShell 窗 口 ， 然 后 执行 以 下 命令 〈 如 图 A-2-6 所 示 ， 图 中 假设 将 端口 固定 到 34567) : 


DESRDIAGStaticRPC /Port334567 


注意 此 端口 不 能 与 其 他 服务 所 使 用 的 端口 相同 。 如 果 无 法 执行 此 程序 的 话 ， 请 先 安装 
DFS 管 理工 具 〈 通 过 服务 器 管理 器 添 加 角色 和 功能 纪 在 选择 功能 界面 展开 远程 服务 器 管理 
工具 角 色 管 理工 具 3 文 件 服务 工具 写 .…… ) 。 完 成 后 ， 重 新 启动 这 人 台 域 控制 器 ， 以 后 其 
DEFS 复 制服 务 所 使 用 的 端口 将 会 是 34567。 
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图 A246 
可 以 先 利 用 Active Direetory 站 点 和 服务 来 手动 与 其 他 域 控制 器 之 间 执 行 AD DS 复 制 工作 
〈 它 也 会 复制 SYSVOL 文 件 夹 ) ， 然 后 在 这 人 台 域 控制 器 上 打开 Windows PowerShell 窗 口 、 执 
行 aetstat-n 命 令 来 查看 其 所 使 用 的 端口 。 如 图 A-2-7 所 示 可 看 到 它 使 用 到 我 们 所 指定 的 连接 
34567。 
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图 A-2-7 
也 可 以 在 WindowsPowerSehell 窗 口 下 ， 执 行 以 下 命令 来 达到 相同 目的 【如 图 A-2-8 所 
示 ， 图 中 假设 将 端口 固定 到 34567) : 


Set-DfsrServiceConftiguration -REPCPort 34567 


完成 后 重新 启动 此 域 控制 器 ， 以 后 其 DFS 复 制服 务 所 使 用 的 端口 将 会 是 34567。 


厢 等 理 员 : Windows PowerShell 


图 A28 


A.3 IPSec 与 VPN 端 口 


如 果 域 控制 器 之 间 ， 或 域 控制 器 与 成 员 计算 机 之 间 ， 不 但 被 防火 墙 隔 开 ， 而 且 所 传输 的 
数据 还 经 过 IPSec 的 处 理 ， 或 经 过 PPTP、L2TP 等 VPN 安 全 传输 通道 来 传送 的 话 ， 则 还 有 一 些 
通信 协议 或 端口 需要 在 防火 墙 开放 。 


A.3.1 IPSec 所 使 用 的 通信 协议 与 端口 


IPSec 除了 用 到 UDP 通信 协议 外 ， 还 会 用 到 ESP 与 AH 通信 协议 ， 因 此 我 们 需要 在 防火 墙 
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开放 相关 的 UDP 端口 与 ESP、AH 通 信 协 议 : 


让 Encapsulation Security Payload ( ESP ) : 通信 协议 号 为 50 
站 Authentication Header ( AH ) : 通信 协议 号 为 51 
站 Intermet Key Exchange (JIKE ) : 所 使 用 的 是 UDP 端口 号 $00 


A.32 “PPTP VPN 所 使 用 的 通信 协议 与 端口 - 


除了 TCP 通 信 协 议 外 ，PPTP VPN 还 会 使 用 到 GRE 通 信 协 议 ， 


外 General Routing Encapsulation ( GRE ) : 通信 协议 号 为 47 
包 PPTP: 所 使 用 的 是 TCP 端 口号 1723 


A.3.3 L2TPIIPSec 所 使 用 的 通信 协议 与 端 日 


除了 UDP 通信 协议 外 ，L2TP/IPSec 还 会 用 到 ESP 通 信 协 议 ; 


匀 Encapsulation Security Payload (ESP ) : 通信 协议 号 为 50 
浊 Intermnet Key Exchange (IKE ) : 所 使 用 的 是 UDP 端口 号 500 
站 NATT: 所 使 用 的 是 UDP 端口 号 码 4500， 它 让 IPSec 可 以 穿越 NAT 


虽然 L2TP/IPSec 还 会 使 用 到 UDP 端口 1701， 但 它 是 被 封装 在 IPSec 数据 包 内 ， 因 此 不 需要 
在 防火 墙 开放 此 端口 。 
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在 安装 Windows Server 2016 时 ， 可 以 选择 一 个 小 型 化 的 Windows Server 2016〈 可 被 称 为 
Server Core 安 装 ) ， 它 可 以 降低 系统 维护 与 管理 需求 、 减 少 硬盘 占用 量 、 减 少 被 攻击 面 。 以 
下 将 采用 这 种 安装 方式 的 Windows Server 2016 称 为 Server Core 服 务 器 。 

而 Nano 服 务 器 是 一 个 需要 通过 远程 来 管理 的 服务 器 操作 系统 ， 类 似 于 Server Core， 但 明 
显 更 小 型 化 、 只 支持 64 位 应 用 程序 与 工具 、 没 有 本 地 登录 功能 。 


外 
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Server Core 服 务 器 概述 

Server Core 服 务 器 的 基本 设置 
在 Server Core 服 务 器 内 安装 角色 与 功能 环 
远程 管理 Server Core 服 务 器 一 
在 庶 拟 机 内 运行 的 Nan0 服 务 器 六 

在 物理 机 内 运行 的 Nano 服 务 器 


B.1 


色 : 
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Server Core 服 务 器 概述 


在 安装 Windows Server 2016 时 ， 如 果 是 在 图 B-1-1 选 择 Windows Server 2016 Standard 或 
Windows Server 2016 Datacenter 的 话 ， 就 是 ServerCore 安 装 。 


选择 要 安装 的 操作 系统 (3) 


Windows Server 2016 Standard 2016/12714 
Windows Server 2016 Standard 2016/i2714 


Windows Seryer 2016 Datacenter 2016/127 寺 


图 Bl-1 


Server Core 服 务 器 提供 一 个 小 型 化 的 运行 环境 ， 它 可 以 降低 系统 维护 与 管理 需求 、 减 少 
硬盘 的 使 用 量 、 减 少 被 攻击 面 。Windows Server 2016Server Core 服 务 器 支持 以 下 服务 器 角 


区 区 区 区 区 长 攻 区 区 区 区 区 长 


Active Directory 证 书 服务 (AD CS ) 

Active Directory 域 服务 (AD DS ) 

Active Directory 轻 型 目录 访问 服务 (AD LDS ) 
Active Directory Rights Management Services ( ADRMS ) 
DHCP 服 务 器 

DNS 服务 器 

文件 服务 器 

Hyper-V 

IISWeb 服 务 器 ( 包含 支持 ASP .NET 子 集 ) 
打印 和 文件 服务 

Routing and Remote Access Services (RRAS ) 
流 媒体 服务 

Windows Server Update Services ( WSUS ) 


Server Core 服 务 器 并 不 提供 Windows 图 形 接口 《GUI) ， 因 此 在 登录 Server Core 服 务 器 
后 的 管理 接口 为 命令 提示 符 《〈command prompt， 如 图 B-1-2 所 示 ) ， 可 以 在 此 环境 下 利用 命令 
来 管理 Server Core 服 务 器 或 通过 另外 一 台 Windows Server 2016 桌面 体验 服务 〈GUI 模 式 ) 来 
远程 管理 此 Server Core 服 务 器 。 
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如 果 不 小 心 将 命令 提示 符 窗口 关闭 的 话 ， 可 利用 【 按 芋 串 + 出 + 吉 键 2 注销 再 重新 
登录 ] 或 【 按 g + 划 | + | 键 2 启动 任务 管理 器 Q 更 多 详细 信息 3 单 击 文件 莱 单 2 运 
行 新 任务 2 输入 emd.exe2 单 击 鱼 赋 按钮 】 的 方法 来 重启 此 窗口 。 


图 B-12 
也 可 以 在 Windows PowerSehll 环 境 下 管理 Server Core 服 务 器 。 可 以 在 命令 提示 符 下 执行 
PowerShellLexe 程 序 来 启动 Windows PowerSehll 窗 口 ， 之 后 如 果 要 离开 Windows PowerSehll 窗 
口 的 话 ， 可 以 利用 exit 命 令 。 还 可 以 通过 容易 使 用 的 Sconfig.cmd 程 序 来 设置 Server Core 服 务 
器 。 


IEED 


Windows Server 2016 不 支持 在 Server Core 与 桌面 体验 服务 器 ( GUI 图 形 接口 ) 之 间 进 行 
转换 ， 也 就 是 Server Core 无 法 转换 为 桌面 体验 服务 器 ， 反 之 亦 然 。 如 果 在 安装 Server 
Core 之 后 ， 决 定 要 改 为 桌面 体验 服务 器 的 话 ， 应 该 执行 全 新 安装 ， 反 之 亦 然 。 


B.2 ”Server Core 服务 器 的 基本 设置 


以 下 说 明 如 何 来 更 改 Server Core 服 务 器 的 计算 机 名 称 、 卫 地 址 、DNS 服 务 器 的 耳 地 址 、 
启用 Server Core 服 务 器 与 加 入 域 等 基本 设置 。 


B.2.1 更改 计算 机 名 称 


可 以 先 利用 hostname 或 ipconfig /al 命令 来 查看 这 人 台 服 务 器 当前 的 计算 机 名 称 《〈 主 机 
名 ) 。 假 设 当前 的 计算 机 名 称 为 ServerCoreBase， 同 时 假设 我 们 要 将 其 更 改 为 ServerCorel， 
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则 请 通过 以 下 命令 来 执行 计算 机 名 称 的 更 改 工 作 ， 
netdom renameccomputer SerVerCoreBase /NewName:ServerCoreI 
接 下 来 通过 以 下 命令 来 重新 启动 计算 机 ， 以 便 让 此 更 改 生 效 ， 
shutdown /z 人 t 0 


也 可 以 利用 Sconfig 程 序 来 更 改 计算 机 名 称 ， 执 行 Sconfig， 然 后 在 图 B-2-1 中 选择 2) 计算 
机 名 后 按 是 辆 急 。 


| 而 本 理 下 ctWirdonawatenzmvd ee -Seonag 


图 B-2-1 


B.2.2 更改 IP 地 址 


此 计算 机 的 地 址 等 设置 默认 是 动态 获取 的 ， 而 假设 我 们 要 将 其 更 改 为 以 下 的 配置 : 
地 址 为 192.168.8.41、 子 网 掩 码 为 2355.255.255.0、 默 认 网 关 为 192.168.8.254、 首 选 DNS 服务 器 
的 了 P 地 址 为 192.168.8.1。 


STEP 和 回 。 在 命令 提示 符 下 ， 执 行 以 下 命令 : 
netsh interface ipv4 show interfaces 


STEP 和 四 。 找 出 网 卡 ( 以 太 网 络 ) 的 idx 编 号 ， 如 图 B-2-2 所 示 的 idx 编 号 为 3。 


硬 营 理 员 : CNWindows\system32cmd.exe 


图 B2-2 
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STEP 图 。 在 命令 提示 符 下 ， 执 行 以 下 命令 来 设置 P 地 址 ( 如 图 B-2-3 所 示 ) : 


netsh interface ipv4 set address name="3" SoUrce=staticaddress=192.168.8.41 
mask=255.255.255.0 gateway=192.168.8.254 


其 中 的 ”3” 为 idx 代 号 。 


如 果 要 改 回 动态 获取 了 设置 的 话 ， 可 执行 以 下 命令 : 


netsh interface ipv4 set address name='3"0 SOUrCe=dhcPp 


STEP 四 。 在 命令 提示 符 下 ， 执 行 以 下 命令 来 指定 DNS 服务 器 ( 如 图 B-2-4 所 示 ) : 
netsh jinterface :ipv4 adqd dnsserver name='3" address=192.168.8.1index=1 


其 中 index=1 表 示 要 设置 第 1 台 DNS 服 务 器 { 首选 DNS 服务 器 ) 。 


图 B-24 


如 果 要 删除 DNS 服务 器 中 地 址 的 话 ， 请 执行 以 下 命令 : 


netsh interface ipv4 delete dnsserver Tame="3” address=192.1I68.8.1 


STEP 峰 。 有 需要 的 话 ， 可 以 重复 STEP 四 的 操作 ， 以 便 设 置 多 台 DNS 服 务 器 ， 不 过 index 数 值 需 
依 序 增 加 。 
STEP 回 。 利用 ipconfig /al 命令 来 查看 上 述 设置 是 否 正确 。 


也 可 以 利用 Sconfig 程 序 来 更 改 耳 地 址 等 网 络 设置 : 执行 Sconfig， 然 后 在 图 B-2-5 选 择 8 网 
络 设置 后 按 题 赋 键 。 
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困苦 Ciwindowzwyctem3zvend exe - Scanfig 


B.2.3 ”启用 Server Core 服 务 器 


可 通过 以 下 步骤 来 启用 Server Core 服 务 器 。 请 先 执行 以 下 命令 来 输入 产品 密 钥 ; 
slmgr.vbs -ipk<25 个 字符 的 密 铀 字符 串 > 

完成 后 ， 再 执行 以 下 的 命令 来 启用 Server Core 服 务 器 : 

slmgr.vbs -atg 

屏幕 上 并 不 会 显示 启用 成 功 的 消息 ， 但 是 会 显示 失败 信息 。 


也 可 以 到 一 台 Windows 计 算 机 上 打开 命令 提示 符 窗口 ， 然 后 通过 以 下 命令 来 启用 这 台 
Server Core 服 务 器 : 


cscript  \WindowsNSystem32\slmgr.vbs ServerCorel “< 用 户 名 称 >< 密 码 > -ato: 
其 中 假设 Server Core 服 务 器 的 计算 机 名 称 为 ServerCore1l (或 输入 钙 地 址 ) ， 而 < 用 户 名 > 
请 输入 系统 管理 员 账 户 Administrator、< 密 码 > 为 其 密码 。 


B.2.4 “加 入 域 


假设 此 Server Core 服 务 器 的 计算 机 名 称 为 ServerCore1， 而 且 我 们 要 利用 域 Administrator 
的 身份 〈 假 设 其 密码 为 11laaAA) 来 将 其 加 入 AD DS 域 sayms.local。 请 执行 以 下 命令 : 


netdom join ServerCorel /domain:sayms-local /userDiadministrator /PasswordD:111aaRR 
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如 果 担心 输入 密码 时 被 旁人 宕 看 的 话 ， 可 改 为 执行 如 下 命令 : 
netdiom join ServerCorel /dcmain;sayms,local /userDiacdnviiriistrator /passwordD:* 


之 后 根据 界面 上 的 要 求 来 输入 密码 ， 此 时 密码 不 会 显示 在 屏幕 上 。 
接 下 来 通过 以 下 命令 来 重新 启动 计算 机 ， 以 便 让 此 更 改 生效 : 


shutdown /rr /七 0 

也 可 以 通过 执行 Sconfig 命 令 来 将 此 计算 机 加 入 域 ， 【如 图 B-2-6 所 示 选 择 1 域 / 工 作 组 后 按 
醒 训 刍 2 输 入 D 键 后 按 是 国 刍 2 输入 域名 saymslocal 后 按 轩 呈 键 2 输入 域 系 统管 理 员 账 户 
Administrator 后 按 硬 国 键 2 输入 此 账户 的 密码 后 按 钾 图 键 2…… 】. 
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图 B246 
如 果 要 利用 域 用 户 账户 来 登录 的 话 【在 登录 界面 按 两 次 区 8 键 3 选 择 其 他 用 户 23……】， 
注意 若是 Hyper-V 虚 拟 机 的 话 ， 请 在 Hyper-V 管 理 员 内 选择 查看 菜单 、 取 消 色 选 增强 的 会 话 ， 
这 样 按 回国 链 才 会 正常 。 


B.2.5 “将 域 用 户 加 入 本 地 Administrators 组 


可 以 将 域 用 户 账户 加 入 到 本 地 管理 员 组 Administrators， 例 如 如 果 要 将 域 sayms.local 用 户 
peter 加 入 到 本 地 Administrators 组 的 话 ， 请 执行 : 

met localgroup administrators /adad sayms.1ocalNpeter 

也 可 以 通过 执行 Sconfig 来 将 上 述 域 用 户 Peter 加 入 此 计算 机 的 本 机 Administrators 组 : 【在 
前 面 的 图 B-2-6 中 选择 3 添加 本 地 管理 员 后 按 鲁 员 键 2 输入 用 户 账 户 sayms.local\Peter 键 后 按 
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B.2.6 “更改 日 期 与 时间 
如 果 要 更 改 目 期 、 时 间 与 时 区 的 话 ， 请 执行 以 下 命令 : 


control timedate.Cpl 


也 可 以 通过 执行 Sconfig 命 令 来 更 改 日 期 与 时 间 : 【在 前 面 的 图 B-2-6 中 选择 9 日 期 和 时 间 


如 果 要 查看 系统 的 版 本 信息 的 话 ， 请 执行 以 下 命令 ; 
Systeminfo .exe 
如 果 要 查看 系统 信息 〈 软 、 硬 件 等 信息 ) 的 话 ， 请 执行 以 下 命令 : 


msinfo32.exe 


B.3 ”在 Server Core 服 务 器 内 安装 角色 与 功能 


完成 Server Core 的 基本 配置 后 ， 接 着 可 以 安装 服务 器 角色 (server role) 与 功能 
(feature) ， 在 Server Core 内 仅 支 持 部 分 的 服务 器 角色 〈 见 B.1 节 ) 。 


B.3.1 查看 所 有 角色 与 功能 的 状态 


可 以 先 利用 以 下 的 Dism.exe 命 令 来 查看 这 人 台 Server Core 内 可 以 被 安装 的 服务 器 角色 与 功 
能 、 查 看 当前 已 经 安装 的 角色 与 功能 ， 如 图 B-3-1 所 示 。 


dism /online /get-features /format:table 


可 以 利用 以 下 命令 将 上 述 信息 保存 为 文件 〈 假 设 文件 名 是 tl.tkt) ， 然 后 通过 此 文件 来 仔 
细 查 看 上 述 信息 : 

dism /online /get-features /format:table> 七 L.txt 

如 果 要 使 用 PowerShell 命 令 的 话 ， 请 先 执行 PowerShell.exe 进 入 Windows PowerShell 窗 
口 ， 然 后 执行 Get-WindowsFeature 命 令 来 查看 角色 或 功能 的 名 称 ， 最 后 再 执行 Install- 
WindowsFeature< 角 色 或 功能 名 称 > 命令 来 安装 。 如 果 要 同时 安装 多 个 角色 或 功能 的 话 ， 请 在 
这 些 角 色 或 功能 名 称 之 间 用 逗号 隔 开 。 如 果 要 删除 角色 或 功能 的 话 ， 请 改 用 Uninstall- 
WindowsFeature 命 令 。 
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图 B-3-1 


B.3.2 ”DNS 服务 器 角色 


请 执行 以 下 命令 来 安装 DNS 服务 器 角色 : 
dism /online /enable-feature /featurename:DNS-Server-Eul1-Role 
之 后 如 果 要 删除 DNS 服务 器 角色 的 话 ， 请 执行 以 下 命令 ; 


dism /online /disable-feature /featurename:DNS-Server-FulI-Role 


IE 


1 其 他 角色 的 删除 方法 也 是 利用 /disable-feature 参 数 。 
2，Windows Server 2008 Server Core 是 利用 ocsetup.exe 来 安装 角色 与 功能 ， 例 如 安装 DNS 
服务 器 的 命令 如 下 所 示 : 


Start /WwW ，ocsetUP “DNS-Server-Core-Role 
如 果 要 删除 此 角色 的 话 ， 请 在 后 面 增加 /uninstal 参 数 。 
如 果 要 在 Windows PowerShell 窗 口内 使 用 PowerShell 命 令 来 完成 以 上 工作 的 话 : 


Instal1-WindowsFeature DNS -IncludeManagementTools， 


UnInstall-WindowsFeature DNS -IncludeManagementTools 


如 果 要 手动 来 启动 或 停止 DNS 服务 器 的 话 ， 可 使 用 net startdns、net stop dns。 
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可 以 在 安装 完成 后 ， 利 用 dnsemd 命 令 或 在 其 他 计算 机 通过 DNS MMC 主 控制 面板 来 管理 
台 DNS 服 务 器 。 例 如 若 要 建立 一 个 saycore.local 的 主要 正 向 查找 区 域 : 


dnscmd 1localhost /Zonehdd saycore.local /Primary /file saycore.local:dns 


如 果 要 在 DNS 区 域 saycore.local 内 添加 记录 的 话 ， 可 以 使 用 以 下 命令 ， 命 令 中 假设 要 新 建 
A 资 源 记 录 、DNS 服 务 器 的 名 称 为 ServerCoreBase1、 新 建 的 主机 名 为 Win10PC5、IP 地 址 为 
192.168.10.5: 


dnscmd ServerCoreBasel /recordadd saycore.local Winl10PC5 Ra 192.168.10.5 


如 果 要 在 Windows PowerShell 窗 口内 使 用 PowerShell 命 令 来 完成 以 上 工作 的 话 : 


Rdd-DnsServerPrimaryZone -Narle "Saycore.local" -ZoneFile "Saycorevlocal.dns" 


Rdd-pnsServerResourceRecordA -Name "Win10PC5" -ZoneNare "saYycore.local" 一 
IPv4address "192.168.8.5" 


B.3.3”DHCP 服 务 器 角色 


请 执行 以 下 命令 来 安装 DHCP 服 务 器 角色 : 

dism /online /enabIe-feature /featurenameiDHCPSerVer E 

如 果 要 使 用 Windows Powershell 命 令 的 话 ， 请 使 用 以 下 命令 :; 

Install-WindowsFeature  DHCP =IncludeManagementTools: 

可 以 在 安装 完成 后 ， 利 用 netsh 命 令 或 在 其 他 计算 机 通过 DHCP MMC 主 控制 面板 来 管理 
此 人 台 服 务 器 。 

如 果 是 搭建 在 AD DS 域 环境 中 的 话 ， 则 还 需要 经 过 授权 的 程序 。 可 以 利用 以 下 命令 来 授 
权 ( 假 设 此 计算 机 的 耳 地 址 为 192.168.8.41， 并 且 已 经 加 入 sayms.local 域 。 请 利用 域 sayms.local 
的 系统 管理 员 登 录 ， 才 有 权限 执行 授权 工作 ); 


etsh dhcp add server ServerCorel.sayms.]ocal 192.168.8.41 


完成 后 可 以 利用 以 下 命令 来 检查 : 


Tietsh dhcp show server 


如 果 要 解除 授权 的 话 ， 可 以 利用 以 下 命令 ; 


netsh dhcpdelete server ServeICorel-sayms-Jocal 192.168.8.41 
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如 果 要 在 Windows PowerShell 窗 口内 使 用 PowerShell 命 令 来 完成 以 上 工作 的 话 : 


Rdd-DhcpServerInDC -DNSName-” SerVerCorel.sayms-Jocal 


Get-DhcpSetverInDC 


Remove-DhcpServerInDC -DNSName “ServerCorel.sayms .1Ocal 


如 果 要 手动 来 启动 或 停止 DNS 服务 器 的 话 ， 可 使 用 net start dhcpserver 、net stop 


dhcpserver。 


如 果 要 更 改 DHCP 服 务 器 的 启动 状态 的 话 ， 例 如 要 将 其 设置 为 自动 启动 的 话 《〈 这 是 默认 
值 )， 请 通过 以 下 命令 : 


sc config dhcpserver start=atuto 


其 中 的 auto 〈 自动 ) 也 可 以 改 为 emand (手动 ) 、disabled (禁用 ) 或 delayed-auto 〈 自 
动 〈 延 迟 启动 ) ) 。 


B.3.4 文件 服务 角色 


站 


忆 


B:3.5 


安装 文件 服务 器 (文件 服务 角色 ) 

Dism /online /enable=-feature /featurename:Eile-Services 

安装 文件 复制 服务 ( File Replication Service，FRS ) 

Dism /online /enable-feature /featurename:FRS-Infrastructure 

安装 分 布 式 文件 系统 服务 ( Distributed File System，DFS ) 

Dism /online /enable-feature /featurename:DESN-SerVer 

也 就 是 安装 DNS Namespace (DNS 名 称 空间 ) 服务 。 

安装 分 布 式 文件 系统 复制 服务 ( DFS Replication Service ) 

Dism /online /enable-feature /featurename:DFSR-Infrastructure-ServerEdition' 
安装 Server forNFS 

Dism Vonline /enable-feature /all /featurename:ServerForNFS-Infrastructure' 
其 中 的 /al 表示 将 所 需 的 其 他 组 件 一 起 安装 ， 若 未 加 /all 参 数 的 话 ， 则 需 先 执行 以 下 
命令 : 


Dism /online /enable-feature /featurename:ServicesForNFS-ServerandCIient 


Hyper-V 角 色 


请 执行 以 下 命令 来 安装 HyperV 角 色 : 


Dism /online /enable-feature /featurename:Microsoft-HYyYPer-V 
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安装 完成 后 ， 请 在 其 他 计算 机 利用 Hyper-V 管 理工 具 来 管理 ， 例 如 在 Windows Server 2016 
GUI 模式 内 使 用 Hyper-V 管 理 员 控制 台 ， 可 以 通过 安装 Hyper-V 管 理工 具 这 个 角色 管理 工具 来 
拥有 Hyper-V 管 理 员 控制 台 。 


B.3.6 ”打印 服务 角色 


请 执行 以 下 命令 来 安装 与 打印 服务 角色 有 关 的 服务 : 
站 安装 打印 服务 器 角色 服务 


Dism/online /enable-feature/all /featurename:Printing-Server-Role 


其 中 的 /all 表 示 将 所 需 的 其 他 组 件 一 起 安装 ， 如 果 未 加 /all 参 数 的 话 ， 则 需 先 执行 以 
下 命令 : 


Dism /online enable-feature /featurenanie:Printirng-SerVer-Foundation- 


Features 
匀 安 装 Line Printer Daemon ( LPD ) 服务 


Dism /online /enable-feature /featurename:Printing-LPDPrintService 


如 果 要 在 这 人 台 打 印 服务 器 上 新 建 打印 机 的 话 ， 请 到 另外 一 台 Windows 计 算 机 上 利用 打印 
管理 (Print Management) 控制 台 配 置 。 


B.3.7 ”Active Directory 证 书 服务 (AD CS) 角色 
请 执行 以 下 命令 来 安装 AD CS 角色 : 


Dism /online /enable-feature /featurename:CertificateServices 


B.3.8 Active Directory 域 服务 (AD DS) 角色 


请 执行 以 下 命令 来 安装 Active Directory 域 服务 (AD DS) 与 域 控制 器 : 
Dism /online /enable-feature /all /featurename:DirectoryServices-DomainControljer、 


其 中 的 /al 表示 将 安装 域 控 制 器 所 需 的 其 他 组 件 都 一 起 安装 。 


B.3:9 Web 服务 器 〈IIS) 角色 


如 果 要 采用 默认 安装 选项 来 安装 Web 服 务 器 〈JIS) 的 话 ， 请 执行 以 下 命令 : 
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Dism /online /enable-teature /all /featurenamerIIS-WebServer 

其 中 的 /al 表示 将 所 需 的 其 他 组 件 一 并 安装 ， 如 果 未 加 /all 参 数 的 话 ， 则 需要 先 执行 以 下 
命令 ; 

Dism /online /enable-feature /featurename:IIS-WebServerRole 

如 果 要 安装 其 他 功能 的 话 ， 例 如 安装 基本 身份 验证 的 话 ， 请 执行 以 下 命令 ; 

Dism /online /enable-feature /featurename:IIS-BasicAuthentication 

其 中 基本 身份 验证 的 名 称 为 HS-BasicAuthentication， 若 要 查看 其 他 功能 的 名 称 的 话 ， 可 参 
考 利 用 以 下 命令 所 建立 的 tI:txt 来 查看 。 


dism Vonline /get=-features /format:table > tLI.txt 


B.4 “远程 管理 Server Core 服 务 器 


可 以 在 其 他 计算 机 《在 此 将 其 称 为 源 计 算 机 )》 通过 服务 器 管理 员 、MMC 管 理 控制 台 或 远 
程 桌面 来 远程 管理 Windows Server 2016 Server Core 服 务 器 : 


FEED 


还 可 以 通过 scregedit,wsf 脚 本 文件 来 执行 其 他 管理 工作 ， 此 脚本 文件 的 使 用 方法 可 通过 
以 下 命令 来 查询 ，cscript C:\WindowsN\System32\Nscregedit.wsf /2 


B.4 江 通过 服务 器 管理 器 来 管理 Server Core 服 务 器 


可 以 在 一 台 Windows Server 2016 桌 面体 验 服务 器 (GUI 图 形 接口 模式 ) 的 源 计算 机 上 ， 
通过 服务 器 管理 器 来 连接 与 管理 Server Core 服 务 器 。 以 下 假设 源 计 算 机 与 Server Core 服 务 器 
都 是 AD DS 域 成 员 ， 并 且 Server Core 服 务 器 的 计算 机 名 称 为 ServerCorel 。 

可 以 在 Server Core 服 务 器 上 ， 利 用 Sconfig 或 Windows PowerShell 命 令 ， 来 允许 源 计 算 机 
通过 服务 器 管理 器 远程 管理 此 Server Core 服 务 器 -。 


1. 利用 SCONFIG 来 允许 “服务 器 管理 器 ”远程 管理 


Windows Server 2016 Server Core 服 务 器 默认 已 经 允许 远程 计算 机 可 以 利用 服务 器 管理 器 
来 管理 ， 如 果 要 更 改 此 设置 值 的 话 【 执 行 sconfig.cmd 仿 在 图 B-4-1 中 选择 4) 配置 远程 管理 后 
按 题 一 链 2 通过 图 B-4-2 来 设置 】， 图 中 除了 可 以 用 来 启用 、 禁 用 远程 管理 之 外 ， 还 可 以 多 
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远程 计算 机 来 ping 此 Server Core 服 务 器 。 


只 Ciwfndowahoyriemiawmd exe -sconig 


图 B-4-1 


于 ChWindowrtpyriemazwmd eme -sconfig 二 6 国 


图 B42 


也 可 以 通过 Configure-SMRemoting.exe -enable 命 令 来 启用 远程 管理 、 通 过 Configure- 
SMRemoting.exe -disable 来 禁用 远程 管理 

之 后 便 可 以 在 一 台 Windows Server 2016 GUI 模式 的 计算 机 上 ， 依 以 下 步骤 来 远程 管理 
Server Core 服 务 器 〈 假 设 是 ServerCore1) : 


STEP 回 。” 打开 服务 器 管理 器 Q 如 图 B-4-3 所 示 选 中 所 有 服务 器 并 右 击 2 添 加 服务 器 。 


| 可 
| 吉 
8 


图 B43 
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STEP 回 在 图 B-4-4 中 单 击 晤 兽 狼 塘 钮 


STEP 回 


STEP 四 


图 sx 


图 B44 
在 图 B-4-5 中 单 击 ServerCore1 后 单 击 中 > 单 击 釉 量 扩 钮 


| 本 二 os 可 =” 末 ”站 


之 后 便 可 以 在 图 B-4-6 中 选中 ServerCore1 并 右 击 ， 通 过 图 中 的 选项 来 管理 此 Server 
Core 服 务 器 ， 例 如 添加 角色 和 功能 、 重 新 启动 服务 器 、 利 用 Windows PowerShell 命 令 
来 管理 等 (通过 计算 机 管理 、 远 程 桌 面 连接 等 来 管理 ServerCore 服 务 器 ， 还 有 一 些 设置 
需要 完成 ， 后 述 )。 


| 到 P 加 = 加 = 
上 ADCS | @ 三 可。 1Pv4 二 直 。。 避 区 理性 上 六 要 新 


| 
0 pc。 Tazieaat RN 二 al 了 本 207122 720519 志 当 | 
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2. 在 Windows 10 上 通过 “服务 器 管理 器 ”来 远程 管理 


如 果 要 在 Windows 10 计 算 机 上 通过 服务 器 管理 器 来 远程 管理 Server Core 服 务 器 的 话 ， 请 
先 到 微软 网 站 下 载 与 安装 Windows 10 的 远程 服务 器 管理 工具 (Remote Server Administration 
Tools for Windows 10) 。 

如 果 此 Windows 10 计 算 机 未 加 入 域 的 话 ， 还 需 执行 以 下 命令 : 【选中 左下 角 开 始 图 标 田 
右 击 2Windows PowerShell (管理 员 ) 忆 执 行 以 下 命令 〈 人 参见 图 B-4-7) 】， 


Set=-item wsmanyNl1OcaIhbstNClientNTrustedHosts -ValueSerVerCoreI.sayms.1local 


可 -中 填 关 : Windows powerSha 一 籽 / 芝 


图 B-47 
命令 中 的 ServerCorel.sayms.local 可 改 为 ServerCore1。 此 Windows 10 计 算 机 要 可 以 解析 
ServerCore1.sayms ,local 或 ServerCore1 的 JP 地址 。 
之 后 就 可 以 通过 【 单 击 左下 角 开 始 图 标 田 2 服 务 器 管理 器 纺 选 中 所 有 服务 器 并 布 击 忆 添 
加 服务 器 如 图 B-4-8 所 示 来 查找 、 选 择 ServerCore1 服 务 器 〈 图 中 通过 DNS 名 称 来 查找 ， 如 果 
已 经 加 入 域 的 话 ， 则 也 可 以 通过 Aetive Direetory 选 项 卡 来 查找 ) 3 单 击 笑 站 按钮 2 接 下 来 与 
前 面 图 B-4-6 相 同 】 的 方法 来 管理 Server Core 服 务 器 。 


人 | 
| Ion 人 由) SA | 已 本 各 | 
| | 本 必 werereeD 国 | | 


图 B-48 
但 是 如 果 此 Windows 10 计 算 机 未 加 入 域 的 话 ， 则 可 能 还 需 如 图 B-4-9 所 示 【 选 中 
ServerCore1 右 击 3 管 理 方式 3 输入 有 权 远 程 管理 此 ServerCore1 的 账户 与 密码 】， 图 中 是 输入 
域 saymsvadministrator 的 账户 与 密码 ， 也 可 以 输入 ServerCore1 的 本 地 系统 管理 员 账户 与 密码 ， 
例如 ServerCorel\Administrator。 
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B.4.2 ”通过 MMC 管 理 控制 台 来 管理 Server Core 服 务 器 


可 以 通过 MMC 管 理 控制 台 来 连接 与 管理 Server Core 服 务 器 ， 以 下 假设 源 计算 机 与 Server 
Core 服 务 器 都 是 AD DS 域 成 员 。 

例如 要 在 源 计 算 机 上 利用 计算 机 管理 控制 台 来 远程 管理 Server Core 服 务 器 的 话 ， 则 请 先 
在 Server Core 服 务 器 上 通过 以 下 Windows PowerShell 命 令 来 打开 其 Windows 防 火 墙 的 远程 事 
件 日 志 管理 规则 《〈 参 见 图 B-4-10， 请 先 在 命令 提示 符 下 执行 PowershellLexe 打 开 Windows 
PowerShell 窗 口 ) : 


Enable-NetFirewallRule -DisplayGroup "远程 事件 日 志 管理 " 


历 管理 员 : Windows powerShell 


图 B-410 


如 果 要 禁用 此 规则 的 话 ， 请 将 命令 中 的 Enable 改 为 Disable。 


接 下 来 到 源 计 算 机 上 通过 【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 2 计算 机 管理 】 
打开 计算 机 管理 控制 台 〔Windows 10 可 以 在 文件 资源 管理 器 下 选中 此 电脑 并 右 击 妈 管理 ) ， 


图 :rs 
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然后 如 图 B-4-11 所 示 【 选 中 计算 机 管理 〈 本 地 ) 并 右 击 连 接 到 另 一 台 计 算 机 驴 输 入 Server 
Core 服 务 器 的 计算 机 名 称 或 了 地 址 】 来 连接 与 管理 Server Core 服 务 器 〔〈 也 可 以 通过 前 面 图 B- 
4-6 的 计算 机 管理 选项 ) : 

专 HHE 理 二 和 攻 ， 世 


文 作 有 “所 /RA)， 查看 V| 帮助) 
和 中 | 四 | 已 | 目 加 


名 三 aactoa 十 全 曰 上 

于 了 务 和 亦 用 芭 | 过 生计 算 机 ?区 
二 天 需要 这 个 管理 单元 和 理 的 计划 机 
站 个 抽 生生 1 
二 二 HE 行 此 过 钉 各 的 计算 WU 
| 一 
| 另 - 全 计算 WA SR)- 

图 B411 


如 果 源 计算 机 不 是 隶属 于 AD DS 域 的 话 ， 则 可 能 需要 在 源 计算 机 上 ， 先 通过 以 下 命令 来 
指定 用 来 连接 Server Core 服 务 器 的 用 户 账 户 ， 再 通过 MMC 管 理 控制 台 来 连接 与 管理 Seryer 
Core 服 务 器 。 以 下 假设 要 被 连接 的 Server Core 服 务 器 的 计算 机 名 称 为 ServerCorel、 要 被 用 来 
连接 的 账户 为 Administrator 〈 或 其 他 隶属 于 Server Core 服 务 器 的 本 地 Administrators 组 的 用 
户 ) 、 其 密码 为 11laaAA: 


Cmdkey /add:SerVverCorel.saymsvIocal /useryadministrator /pass:Il11aaRR 


也 可 以 在 源 计算 机 上 利用 【打开 控制 面板 3 单 击 用 户 账户 3 单 击 管理 Windows 攒 据 忆 单 
击 添加 Windows 任 据 】 来 指定 用 来 连接 Server Core 服 务 器 的 用 户 账户 与 密码 。 


IEED 


1.， 如 果 是 利用 NetBIOS 计 算 机 名 称 ServerCorel 或 DNS 主机 名 ServerCorel.sayms.local 来 连 
接 Server Core 服 务 器 时 ， 但 却 无 法 解析 其 耳 地 址 的 话 ， 可 以 改 用 吓 地 址 来 连接 。 

2. 在 图 B-4-11 中 另 一 台 计 算 机 处 所 输入 的 名 称 ， 必 须 与 在 Cmdkey 命 令 中 ( 或 控制 面 
板 ) 所 输入 的 名 称 相 同 。 例 如 前 面 的 范例 命令 Cmdkey 中 是 输入 
ServerCorel.sayms.local ， 则 在 图 B-4-11 中 另 一 台 计 算 机 处 ， 就 必须 输入 
ServerCore1.sayms.local， 不 能 输入 ServerCore1 或 了 P 地 址 。 


B.4.3 ”通过 远程 桌面 来 管理 Server Core 服 务 器 


我 们 需要 先 在 Server Core 服 务 器 上 启用 远程 桌面 ， 然 后 通过 源 计 算 机 的 远程 桌面 连接 来 
连接 与 管理 Server Core 服 务 器 。 
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STEP 禹 。 请 在 Server Core 服 务 器 上 执行 以 下 命令 : 


Cscript CrxNWindowsNSYystem32\Scregedit.wsE /ar 0 


其 中 的 /ar 0 表示 启用 远程 桌面 ， 若 输入 /ar 1 表示 禁用 、/ar /v 用 来 查看 远程 桌面 当前 的 
启用 状态 。 

也 可 以 通过 执行 Sconfig 命 令 来 启用 远程 桌面 ; 【 如 图 B-4-12 所 示 选 择 7 远程 桌面 后 按 
量 辐 键 2 输入 E 键 请 按 量 图 键 2 输入 1 或 2 后 按 量 图 键 2…… ] 。 


3 raorn porn 


图 B-412 
您 也 可 以 利用 以 下 3 个 PowerShell 命 令 来 完成 以 上 工作 


Set-ItemProaperty -Path 1HKLM:NSYystemNCurrentControlSet\ControlNTerminal 
Server' -name "fDenyTSConnectionsn -Value 0 


Enable-NetFirewallRule -DisplayGroup "远程 桌面 " 


Set=ITtemProperty -Path HKIM:NSYstemNCurrerttCorntrolSet\ContrcolVTerminal 
ServerNWinStations\ RDP-Tcp' -name "USserRnthentication'"-Value 工 


STEP 回 ”到 源 计 算 机 用 【 拉 本 | 国 争 2 输入 mstsec2 单 击 茧 吧 按 钮 】 ( 也 可 以 通过 图 B-4-6 的 远程 
桌面 连接 选项 ) 。 

STEP 回 。 如 图 B-4-13 所 示 输 入 Server Core 服 务 器 的 IP 地 址 ( 或 其 主机 名 ) 3 单 击 本 败 技 钮 3 答 
入 Administrator 及 其 密码 3 单 击 页 吧 护 钮 。 


园 :so 
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让 = 最 
| 给 入 人 的 攒 所 | 
这 些 任 据 交 用 于 连接 192.168.8.41, 
对 云 旦 点 而 连 控 | 
习 远程 卓 面 
| 


SAyWSwdministator 
| 
| 


玫 户 各 : 趟 组 十 习 
| 
生生 
ao (| 
图 B-413 


STEP 四 。 接 下 来 可 以 如 图 B-4-14 所 示 


里 此 Server Core 服 务 器 。 


图 B-4-14 


STEP 回 ”完成 管理 工作 后 ， 请 输入 logoff 命 令 以 便 结 束 此 连接 。 


B.4.4 “硬件 设备 的 安装 


如 果 所 安装 的 硬件 设备 的 驱动 程序 包含 在 Windows Server 2016 中 的 话 ， 则 在 将 此 硬件 设 
备 连接 到 计算 机 时 ， 系 统 的 即 插 即 用 (PnP) 功能 就 会 自动 安装 此 驱动 程序 。 

如 果 所 安装 的 硬件 设备 的 驱动 程序 并 没有 包含 在 Windows Server 2016 中 ， 而 是 需要 另外 
提供 的 话 ， 则 需要 通过 以 下 步骤 来 安装 ; 


STEP 税 。 将 驱动 程序 文件 复制 到 Server Core 服 务 器 的 一 个 临时 文件 夹 内 。 


381 转 


鄙 | Windows Server 2016 Active Directory 配置 指南 


STEP 贺 利用 ed 命令 切换 到 此 文件 夹 ， 然 后 执行 以 下 的 命令 : 
Prpit 订 二 < 双 程 序 的 inf 文 作 > 


其 中 的 驱动 程序 的 inf 文 件 是 扩展 名 为 ,inf 的 文件 。 
STEP 按照 提示 来 决定 是 否 需要 重新 启动 计算 机 。 
可 以 利用 以 下 命令 来 查看 Server Core 服 务 器 内 已 经 安装 的 驱动 程序 : 


SC auery type=driver 

或 是 将 显示 结果 存储 到 文本 文件 内 ， 以 便 查看 ， 例 如 
sc duery type=driVer> FI,tXt 

如 果 要 禁用 某 个 服务 的 话 ， 请 通过 以 下 的 命令 ， 
sc delete< 服 务 名 称 > 

此 < 服务 名 称 > 可 通过 前 面 的 查询 命令 来 得 知 。 


B.5 “在 虚拟 机 内 运行 的 Nano 服 务 器 


Nano 服 务 器 是 一 个 需 通 过 远程 来 管理 的 服务 器 操作 系统 ， 类 似 于 Server Core， 但 明显 更 
小 型 化 、 只 支持 64 位 应 用 程序 与 工具 、 没 有 本 地 登录 功能 。 已 针对 私有 云 和 数据 中 心 优 化 。 
它 占用 的 磁盘 空间 更 少 、 配 置 速 度 更 快 ， 而 且 所 需要 的 更 新 和 重新 启动 次 数 更 少 。 

我 们 需要 通过 建立 Nano 服 务 器 映像 文件 〈 扩 展 名 是 .vhdx、.vhd 或 .wim) 来 安装 Nano 服 务 
器 ， 可 以 将 Nano 服 务 器 安装 到 Hyper-V 虚 拟 机 与 物理 机 ， 它 们 的 配置 步骤 有 所 不 同 。 

可 以 在 Windows Server 2016、Windows Server 2012 R2、Windows 10 或 Windows 8.1 计 算 
机 上 来 完成 以 下 工作 ， 此 处 我 们 使 用 Windows Server2016 Datacenter， 且 已 经 安装 了 Hyper-V。 

以 下 演练 假设 已 经 有 域 环境 存在 ， 域 名 是 sayms.local、 域 控制 器 是 de1.sayms.local、IP 地 
址 是 192.168.8.1、 此 域 控制 器 是 Hyper-V 虚 拟 机 。 


B.5.1 建立 供 虚 拟 机 使 用 的 Nano 服 务 器 映像 文件 


请 依照 以 下 步骤 来 建立 Nano 服 务 器 所 需 的 .vhdx 文 件 〈 先 以 系统 管理 员 身 份 登录 ) ， 假 设 
除了 Nano 服 务 器 的 基本 功能 之 外 ， 我 们 还 要 在 其 中 安装 网 站 Intemet Information Server (IIS》 
角色 。 


STEP 禹 。 请 先 取 得 Windows Server 2016 的 ISO 文件 ， 然 后 【 选中 此 ISO 文件 并 右 击 3 装载 】， 如 
图 B-5-1 所 示 我 们 将 其 装载 至 D 盘 。 


国 :> 
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图 B-S-l 


STEP 回 。 复制 图 B-5-2 中 ISO 文件 内 的 三 个 文件 { 位 于 \NanoServen NanoServerImageGenerator 文 
件 夹 内 ) ， 假 设 我 们 将 其 复制 到 CNano 文 件 夹 ， 如 图 B-5-3 所 示 ( 请 自行 建立 CNNano 


文件 夹 ) 
| 四 册 : NanasenedimageGowaor 癌 去 
3 #E 下 看 和 目 
+ ETESIOTESEICEC orNano5ervenmage- 书 
后 cD 覃 a 夯 Dj SSS X64FRE THCN DV9 和 名 村 二 1 师 和 


2015.12.14 2034 六 8 实 
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执行 Windows PowerShell ( 如 果 是 使 用 Windows 10 等 客户 端 操作 系统 的 话 ， 请 以 系统 


STEP 回 
管理 员 身 份 运行 ) 3 执行 CD C:Nano 来 切换 到 CNano 文 件 夹 3 执 行 以 下 Import- 
Module 命 令 导入 Nano 服 务 器 映像 文件 的 创建 模块 ， 如 图 B-5-4 所 示 ， 其 中 表示 当前 所 
在 的 文件 夹 ( 也 就 是 CNano ) 、-verbose 参 数 表 示 要 显示 详细 
Tmport-Module ，,NNanoServerImageGenerator.psml -verbose 
[加 ER Windowmpowechil 二 -、 
图 B-54 
STEP 四 。 由 于 我 们 还 要 安装 Web 服 务 器 IIS ( Internet Information Server ) ， 因 此 请 先 通过 以 下 命 


令 来 从 ISO 文件 查询 IIS 的 套件 名 称 ， 如 图 B-5-5 所 示 ， 由 图 中 可 知 其 名 称 为 Microsoft- 
NanoServer-IIS-Packageo 


Get-NanoServerPackage Di:N 


图 B-55 
STEP 回 ”执行 以 下 New-NanoServerImage 命 令 来 建立 .vhdx 映 像 文 件 ， 如 图 B-5-6 所 示 ， 请 在 图 中 
设置 此 Nano 服 务 器 的 系统 管理 员 Administrator 的 密码 。 
New-NanoServerImage -DeploymentTYPe Guest -adition Datacenter -MediaPath 
Di:N -BasePath .\Base -TargetPatih .\NanoServerl.vhdx-CompnterName NarioSerVer1 
-backage Microsoft-NanoServer-IIS-Package 


ER 国 ee =- 昌 
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命令 中 的 参数 说 明 如 下 ; 


匀 -DeploymentType: Guest 代 表 要 建立 供 庶 拟 机 使 用 的 映像 文件 、Host 代 表 供 物理 机 使 
用 的 映像 文件 

外 -Edition: 指定 操作 系统 的 版 本 ， 可 为 Datacenter 或 Standard。 

匀 -MediaPath: 指定 安装 文件 的 来 源 ， 本 范例 是 D:\。 

站 -BasePath: 从 来 源 文件 复制 的 文件 会 被 放置 到 此 参数 所 指定 的 文件 来 ， 本 范例 
是 \Base， 其 中 表示 目前 的 文件 来 ， 也 就 是 C:\Nano， 所 以 此 参数 是 指 CNano\Base 
文件 卖 。 

浊 -TargetPath:， 指定 要 建立 的 映像 文件 的 文件 名 与 存储 位 置 ， 本 范例 是 \ NanoServerl.vhdx， 
也 就 是 C:\NanoVNanoServerl.vhdx。 附 件 名 可 以 是 .Vhdx (第 2 代 康 拟 机 ) ，.vhd (第 1 
代 虚 拟 机 ) 或 ,wim。 

-ComputerName: 设置 此 Nano 服 务 器 的 计算 机 名 称 ， 例 如 NanoServer1。 

站 -Package: 安装 其 他 套件 ， 本 范例 是 Microsoft-NanoServer-IIS-Package， 表 示 要 在 此 
Nano 服 务 器 内 安装 IIS Web 服 务 器 。 


STEP 回 ”图 B-5-7 为 完成 后 的 界面 ， 图 中 显示 在 CA\Nano\Base\Logs 文 件 夹 内 有 月 志文 件 ， 可 供 查 
看 建立 的 过 程 。 


图 B-S-7 
STEP 加 ”图 B-5-8 中 位 于 C:Nano 之 下 的 NanoServerl.vhdx ， 就 是 利用 New-NanoServerlmage 命 令 
所 建立 的 映像 文件 ， 假 设 我 们 将 其 复制 到 HyperV 虚拟 硬盘 的 存储 位 置 
( CANUsers\Public\Documents\Hyper-VVVirtual hard disks ) ， 等 一 下 要 用 它 来 建立 虚拟 
机 。 


B.5.2 建立 与 启动 Nano 服 务 器 的 虚拟 机 
我 们 将 依照 以 下 步 台 来 建立 Nano 服 务 器 虚拟 机 ， 其 所 使 用 的 硬盘 文件 就 是 前 面 所 建立 的 
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NanoServerl.vhdx。 


STEP 贺 。 打开 Hyper-V 管 理 器 ， 然 后 如 图 B-5-9 所 示 【 选中 主机 名 并 右 击 3 新 建 2 虚拟 机 】 。 
到 Hyperv 车 二 二 二 
文 #。 扣 (AI 要 小 邦 (H) 
和 中 | 二 曾 | 目 闸 


图 B-59 
STEP 回 。 以 下 假设 要 将 虚拟 机 名 称 设置 为 NanoServerI、 选 择 第 二 代 虚 拟 机 、 网 络 连接 选择 与 域 
控制 器 dcl.sayms.local 相 同 的 网 络 、 虚 拟 硬盘 选择 前 面 所 建立 的 NanoServerl.vhdx ( 如 
图 B-5-10 所 示 ) 。 


轩 5 区 
男 。。 连 搁 虚 拟 硬盘 
开 好 之 戎 虑 扳机 村 要 具有 下 全 ， 以 便 可 以 去 装 反 作 系统 。 可 以 立即 噬 宇 丰 参 ， 亿 可 以 策 后 通过 途 改 利和 机 的 生性 二 二 
措 定 名 称 和 们 置 本 角 - 
可 口 estc) 
此 这 上 本 癌 全 vHDX 动 扣 二 天 和 
Lexxa | ap Na5anerivhd 
cmu SunwiiapoaneapsWuadaA IE 
二 二 二 曙 同 证 吕 协 
园 全 用 更 有 在 投 硕 得 (U) 
使 用 此 通 项 可 连接 泥 有 的 VHDX 志 氢 硬盘 、 
CE 
图 B-5-10 
STEP 图 B-5-11 为 完成 后 的 界面 ， 请 启动 此 Nano 服 务 器 NanoServerlo 
有 Hyperv 基于 且 一 口 区 
于 
和 遇 | 雪 加 | 目 豆 
园 wperv 二 
鲜 Hosr 
图 B-S-11 
STEP 四 。 在 图 B-5-12 中 输入 系统 管理 员 账 户 Administrator 与 密码 后 按 Enter 键 来 登录 ( 可 按 Tab 键 
切换 字段 ) 。 
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图 B-5-12 
STEP 回 ”在 图 B-5-13 中 可 以 设置 网 卡 的 耳 设 置 、 输 入 /输出 防火 墙 规 则 、 远 程控 制 设置 
( WinRM ) 。 此 处 请 选择 Networking 后 按 项 辆 键 ， 需 要 手动 来 配置 其 |P 地 址 。 


图 B-5-13 


STEP 回 。 在 图 B-5-14 中 选择 网 卡 后 按 国生 键 ( 图 中 只 有 一 块 网 不， 但 无 法 正常 显示 前 面 的 中 文 
字符 “以 太 网 ”) 。 


SEC] 查 和 (YI 名 有 (H) 


图 B-5-14 
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STEP 园 。 在 图 B-5-15 中 按 回国 键 来 设置 ITPv4 的 IP 地 址 。 


图 B5-15 


STEP 回 。 在 图 B-5-16 中 先 按 国 键 来 将 DHCP 设 置 为 禁用 ， 以 便 手 动 配置 耻 地 址 等 。 图 中 将 IP 地 
址 设置 为 192.168.8.51、 子 网 掩 码 为 255.255.255.0。 完 成 后 按 项 辆 键 来 保存 配置。 


图 B-5-16 


B.5.3 ”将 Nano 服 务 器 加 入 域 


我 们 将 依照 以 下 步骤 来 将 Nano 服 务 器 加 入 域 sayms.local 。 


STEP 贺 到 域 控制 器 dc1.sayms.local 上 以 Administrator 身 份 登录 、 打 开 Windows PowerShelle 
STEP 四 ”执行 以 下 的 djoin.exe 程 序 ( 如 图 B-5-17 所 示 ) ， 以 便 建立 供 Nano 服 务 器 来 加 入 域 所 需 
的 文件 ， 假 设 将 文件 建立 在 CN\NanoServerl:txt ( djoin 的 相关 说 明 ， 可 参考 2.7 节 ) ， 接 


中 :ss 
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下 来 要 将 此 文件 复制 到 Nano 服 务 器 。Dijoin 程 序 还 会 在 Active Directory 内 新 建 Nano 服 务 
器 的 计算 机 账户 ， 如 图 B-5-18 所 示 。 


Djoin przcvisiom yaomain sayms,local /machine NanoServerl /savefile 
C:N\NanaServer]l -txt 


Windows powershell = 上 旦 其 


图 B-5-17 


翌 Active Directory 用 户 和 计算 机 一 口 X 
文 作 (操作 (A) ” 坦 看 (V) ”帮助 (H) 
和 哆 | 由 国 | 自 | 国 宙 区 | 目 导 | 色 义 简 守 时 好 


日 Acive Directory 用 户 和 计算 机 类型 招 述 
》 四 保存 的 查询 计算 机 
v 二 samslocal 让 和 抽 
一 一 上 且 SERVERCORET 计算 机 
县 Win1opc1 计算 机 
当 TomGR Controllers 


图 B-5-18 
STEP 回 ”通过 以 下 命令 将 Nano 服 务 器 ( 192.168.8.51 ) 加 入 到 dcl.sayms.local 的 信任 主机 列表 
内 ， 以 便 让 dcl.sayms.local 可 以 连接 到 Nano 服 务 器 ， 如 图 B-5-19 所 示 。 


Set-jitem Wsman:N\LocalhostNClient\TrustedHosts -Value 192.168.8.51 


厢 管 理 员 : Windows PowerShell 


sman \ 


图 B-5-19 
STEP 回 ”执行 以 下 的 Enter-PSSession 命 令 来 连接 与 管理 Nano 服 务 器 ， 如 图 B-5-18 所 示 ， 图 
中 -ComputerName 处 请 输入 Nano 服 务 器 的 JP 地址 ( 请 勿 输入 计算 机 名 称 ， 因 为 目前 无 
法 解析 其 呈 地 址 ) 、-Credential 处 使 用 Nano 服 务 器 的 Administrator 账 户 来 连接 、 前 景 
图 中 请 输入 Administrator 的 密码 。 


Enter-PSSession -ComputerName II92,168.8.51 一 Credential 
192.168.8.51\Vadministratot 
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ra 9 seaasivdnvisnto | 国 
ED EX 
图 B-520 


STEP 回 ”由 于 已 经 连接 到 Nano 服 务 器 ， 因 此 以 下 动作 是 针对 Nano 服 务 器 来 操作 ( 注意 看 其 提示 
字符 前 面 是 [192.168.8.51]: ) 。 执 行 以 下 的 Enter-NetFirewallRule 命 令 (如 图 B-5-21)， 来 
开放 Nano 服 务 器 的 Windows 防 火 墙 中 与 “文件 与 打印 共享 ”相关 的 策略 ， 以 便 在 域 控 
制 器 dcl.sayms.local 上 可 以 访问 Nano 服 务 器 内 的 共享 文件 夹 。 


Enable-NetEirewallRule -DisplayGroup "文件 和 打印 机 共享 " 


管理 员 ; Windows Powershell -~ 口 x 


图 B-S21 


STEP 回 ”打开 文件 资源 管理 器 纺 如 图 B-5-22 所 示 输 入 \WNanoServerl\CS ( 或 \192.168.8.51\CS ) ， 
完成 后 ， 图 中 所 看 到 的 是 Nano 服 务 器 NanoServerl 的 C 盘 内 的 数据 。 


一 口 买 
轧 
放 收 改 日 其 2 大 小 
二 锯 速 访问 
国 iepub 201817128 955 文件 交 
人 
要 ] program Fles (x86) 201617117 533 文件 突 
因 荡 * 风 user 2018/7128 1203 。 文人 赤 
侧 四 片 rz 量 wndows 201817128 1023 。 文件 灾 
硬 此 及 
呈 肿 
不 有 2 PS 了 
5 个 珊 目 医 虽 
图 B-5-22 


STEP 贺 。 如 图 B-5-23 所 示 将 前 面 制作 的 文件 NanoServerl.txt ( 位 于 域 控制 器 的 C:\ ) ， 利 用 文件 
资源 管理 器 复制 /粘贴 到 Nano 服 务 器 NanoServerl 的 C 盘 。 
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[IEEEPEE | 
页 。 共 齐 本 新 母 | 
二 | 
5 
六 | 
昌 谭 他 
国文 上 闻 201817128 估 
| 
下 ?| 


图 B-523 


STEP 梦 。” 回 到 Windows PowerShell 窗 口 ， 执 行 以 下 命令 ， 以 便 在 Nano 服 务 器 NanoServerl 上 完成 
加 入 域 的 后 续 操作 : 


Djcinm，=-$ /requestODJ 71oadfile C:NNanGServerl txt /Windowspath SSystenmc， 
Root 当 /1ocalos 


加 优 理 中 Wandows PowerShell 


图 B-5-24 


STEP 图 。” 加 入 域 后 ， 在 Nano 服 务 器 NanoServerl 就 可 以 利用 域 SAYMS 内 的 用 户 账 户 来 登录 ( 参 


见 图 B-5-25 ) 。 图 B-5-26 为 登录 后 的 界面 。 


六 件 人 所 fiIAI 庆 体 (M) 驶 贴心 (C) 埋 看 (V) 帮 动 1H) 
人 


图 B-5-25 


391 国 


吕 Windows Server 2016 Active Directory 配置 指南 


站 EA SN) RS 天 
5 


图 B-S5-26 


STEPE 回 。 由 于 已 经 安装 了 Intemet Information Server ( IIS ) ， 因 此 可 以 利用 http:/192.168.8.51/ 来 
测试 连接 此 网 站 ， 如 图 B-5-27 所 示 。 


图 B-5-27 
STEPE 且 。 Windows PowerShell 现 在 所 管理 的 计算 机 为 Nano 服 务 器 NanoServerl ， 如 果 要 离开 
NanoServerl 的 话 ， 输 入 exit 命 令 。 也 可 以 利用 服务 器 管理 器 来 远程 管理 Nano 服 务 器 
NanoServerl ， 相 关 说 明 可 参考 前 面 关于 远程 管理 ServerCore 的 说 明 。 


B.6 ”在 物理 机 内 运行 的 Nano 服 务 器 


将 Nano 服 务 器 部 署 到 物理 机 的 方法 可 以 是 以 下 几 种 方法 之 一 : 


加 > 
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当 通过 WinPE 启 动 来 布 署 Nano 服 务 器 ( 使 用 .wim 文 件 ) 

习 与 现 有 Windows 系 统 双重 启动 ( dualboot， 使 用 .vhdx 或 vhd 文 件 ) 

站 利用 PxE-boot 启 动 计算 机 、 通 过 WDS 布 署 Nano 服 务 器 ( 使 用 ,vhdx 或 .vhd 文 件 ) 
沪 利用 PxE-boot 启 动 计算 机 、 通 过 WDS 布 署 Nano 服 务 器 ( 使 用 .wim 文 件 ) 


以 下 我 们 将 针对 第 1 种 方法 来 说 明 。 


B.6.1 二 建立 供 物理 机 使 用 的 Nano 服 务 器 映像 文件 


以 下 说 明 通 过 WinPE 启 动 来 部 署 Nano 服 务 器 的 方法 ， 我 们 将 通过 建立 .wim 了 映像 文件 来 支 


持 此 种 方法 。 供 物理 机 使 用 的 Nano 服 务 器 映像 文件 的 制作 方法 与 前 一 节 的 虚拟 机 相同 ， 请 直 
接 参考 前 面 的 说 明 ， 不 过 在 执行 New-NanoServerImage 命 令 时 稍微 有 所 不 同 ， 


New=-NanoSerVerImage ”=-DeploymentTYPe Host -Edition DataCenter -Mediapatch 


DiN -BaseEath .\Base -TargetpPath .\NanoSerVer2.wim 一 ComputerName NanoServer2 一 
OEMDriVers -Package Microsoft-NancSerVer-IIS-Package 


中 -DeploymentType 改 为 Host、-TargetPath 的 文件 扩展 名 改 为 .wim、 另 外 增加 - 


OEMDrivers 参 数 《〈 用 来 安装 网 卡 、 存 储 控制 器 与 其 他 周边 的 驱动 程序 ， 它 与 ServerCore 所 安 
装 的 驱动 程序 相同 ) 。 如 果 要 将 Nano 服 务 器 当 作 HyperV 主 机 的 话 ， 请 再 增加 -Compute 与 一 
Ciustering 参 数 。 


B.6.2 ”利用 WinPE 户 动 计算 机 与 安装 Nano 服 务 器 


我 们 需 先 下 载 与 安装 Windows ADK ， 然 后 制作 WinPE (WindowsPreinstallation 


Environment) USB 启 动 盘 。 假 设 我 们 使 用 的 计算 机 为 Windows 10〈 版 本 1703) 。 


STEP 轿 。 插入 一 个 U 盘 ， 假 设 它 是 在 F 盘 。 
STEP 回 ”到 Microsoft 网 站 搜索 与 下 载 Windows ADK ( Windows Assessment and Deployment 


Kit ) ， 以 下 假设 我 们 下 载 的 是 适用 于 Windows 10 ( 版 本 1703 ) 的 Windows ADK。 安装 时 
请 确认 部 署 工具 与 Windows 预 安装 环境 ( Windows PE ) 有 被 勾 选 ， 如 图 B-6-1 所 示 。 


windos FE -Windows10 = 加 


大 gs72MB 


应 用 程序 兼容 性 工具 
林寺 轩 角 让 用 条 和 客 性 同 邓 的 工 具 


= we PH 
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STEP 贺 。 安装 完成 后 【 单 击 左下 角 开始 图 标 田 2 选 中 部 署 和 映像 工具 环境 并 右 击 3 更 多 3 以 管 
理 员 身份 运行 】， 然 后 通过 以 下 命令 来 建立 一 个 包含 Windows PE 副本 的 文件 夹 ( 假设 
是 CXWinPE_amd64 ) ， 命 令 中 的 amd64 表 示 是 64 位 版 本 ( 若是 32 位 ， 请 用 x86;，arm 机 
器 ， 请 使 用 arm ) 


copype amd64 “C:NWinPE amd64 


图 B6-2 
STEP 四 。 执行 以 下 MakeWinPEMedia 命 令 后 按 圆 键 来 建立 WinPE 启 动 U 盘 ( 假设 U 盘 的 盘 符 为 
F:; 注意 U 盘 内 现 有 的 数据 都 会 被 删除 ) : 


MakeWinPEMedia /UFD CiNWinPE amd64 E: 


[ 画 ERs ERESIR5S - RE 


图 B63 
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如 果 要 制作 WinPE 开 机 DVD/CD 的 话 ， 请 改 用 以 下 命令 来 制作 ISO 文件 
MakeWinPEMedia /ISO CI:NWinPE amd64 C3 NWinPE_amd64NWinPE_ amd64 Se 

然后 将 此 ISO 刻录 到 DVD/CD ( Windows 10 可 以 【选中 ISO 文件 并 右 击 3 刻录 光盘 映 
像 】) 。 


STEP 回 ”将 前 面 所 制作 的 Nano 服 务 器 映像 文件 NanoServer2.wim 也 复制 到 此 WinPE 启 动 U 盘 ， 


假设 是 被 复制 到 其 根 目录 ， 如 图 B-6-4 所 示 。 


图 :9 


STEP 上 四 
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退出 WinPE 启 动 U 盘 ， 将 其 插 到 目标 计算 机 、 利 用 此 启动 U 盘 来 开机 ( 可 能 需 修改 
BIOS 设 置 ) 。 开 机 完成 、 进 入 WinPE 后 ， 如 图 B-6-5 所 示 执 行 diskpart.exe 程 序 。 


4dmingerotor jwindowslgystemazlomdeve - dizkpart 


图 B65 


由 于 在 Hyper-V 的 环境 之 下 ， 虚 拟 机 利用 U 盘 启动 有 困难 ， 因 此 如 果 要 用 虚拟 机 来 模拟 
物理 机 的 话 ， 建 议 使 用 WinPE 开 机 DVD/CD 或 使 用 Vmware Workstation 比 较 方便 。 


STEP 


STEP 回 


STEP 上 四 


请 依 序 执行 以 下 命令 : 

Select disk 

Clear 

Convert GPT 

Create partiticn efi size<100 

FEormat quick FS=FRT32 labe]="System" 

Rssign letter="sn 

Create partition msr size=128 

Create Part 计 ion Primary 

Format quick FS=NTFS 1Label="NarioSerVer" 

Rssign Jetter="nn 

Iist volume 

EXjt 
前 面 的 命令 会 将 硬盘 的 内 容 清 除 、 总 共 在 硬盘 内 建立 了 3 个 磁盘 分 区 ， 分 别 是 EFI 系 统 
分 区 ( 100MB ， 驱 动 器 号 $S ) 、MSR 磁 盘 分 区 ( 128MB ) 与 用 来 安装 Nano 服 务 器 的 分 
区 ( 驱动 器 呈 N ) 
执行 以 下 命令 殊 Ni 服 坟 大 爸 琴 和 NE 训 冰 衣 区 N 攻 1 以 下 命令 可 参 
考 图 B-6-6 ) 。 


Dism:exe /apply-image /imagefiletCiNNan6Server2.Wim /index:1 /applydir:n:N 


其 中 /imagefile:C:\NanoServer2.wim 是 假设 U 盘 在 C:， 请 通过 前 面 List volume 命 令 来 查 
看 U 盘 的 磁盘 代号 ， 然 后 修改 上 述 命令 。 
利用 以 下 命令 来 指定 Windows 系 统 的 目录 ， 以 便 让 Bcdboot 命 令 从 这 个 目录 来 读 取 系 统 
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分 区 ( 此 处 是 S 盘 ) 初始 化 时 所 需 的 数据 。 
Bcdboot .exe nz:NWindows /ss: 


STEPE 四 退出 U 盘 后 执行 Wpeutil.exe reboot 来 重新 启动 。 


户 TI 


图 B646 
STEPE 辐 。 重新 开机 后 ， 如 图 B-6-7 所 示 输 入 用 户 账户 与 密码 登录 。 


图 B6-7 
STEP 师 。 如 图 B-6-8 所 示 为 成 功 登录 后 的 界面 。 接 下 来 的 相关 事项 ， 例 如 将 此 Nano 服 务 器 加 入 域 、 
远程 管理 等 ， 都 与 前 一 节 在 虚拟 机 内 运行 的 Nano 服 务 器 相同 ， 请 参考 前 面 的 说 明 。 


图 B68 
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戴 有 炜 编著 


循序 渐进 地 介绍 Active Directory 域 服务 (AD D5) 的 基 
本 概念 : 从 域 基本 概念 、 域 树 状 目录 、 域 树 、 站 点 、 域 
与 林 功 能 等 级 到 目录 分 区 ， 使 读者 有 基本 的 认识 。 


独家 讲述 实用 的 Active Directory 域 服务 (AD DS) 配置 
专题 。 

按部就班 地 介绍 如 何 配置 "Server Core 服 务 器 "与 "Nano 
服务 器 "， 让 您 很 容易 建立 一 个 更 安全 的 、 管 理 负担 更 
低 的 运行 环境 。 

深入 探讨 组 策略 的 关键 问题 ， 包 括 组 策略 的 运行 、 账 户 
策略 、 自 动 报告 指令 码 、 首 选项 设置 、 文 件 来 重 定向 、 
WMI 短 选 器 、 组 策略 模型 、 组 策略 结果 、 入 门 GPO 等 。 


涵盖 经 典 且 实用 的 专题 ， 包 括 限制 用 户 运行 软件 、 限 制 
访问 可 移动 存储 设备 、 管 理 用 户 工作 环境 、 管 理 客户 端 
计算 机 环境 、 一 次 同时 添加 多 个 用 户 账户 等 。 


身 为 IT 人 员 必 备 的 知识 与 技能 ， 包 括 : 操作 主机 的 管 
理 、AD DSs 的 备份 与 恢复 、Active Directory 资 源 回 
收 站 、AD DS 数 据 库 的 维护 与 优化 、 通 过 AD D5 公 布 资 
源 、AD D5 数 据 库 的 复制 、 站 点 的 配置 与 管理 、AD DS 
与 防火 墙 等 。 


乘 承 作者 一贯 理 论 章 实 践 的 写作 风格 ， 深 获 读者 信 玉 
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本 套 书 的 宗旨 是 希望 能 够 让 读者 通过 实际 应 用 操作 来 充分 理解 Windows Server 2016， 进 而 轻 
松 管理 Windows Server 2016 的 网 络 环境 。 书 中 不 但 理论 阐述 清晰 ， 且 范例 丰富 。 对 需要 参加 
微软 认证 考试 的 读者 来 说 ， 本 书 更 是 不 可 或 缺 的 实用 参考 手册 。 


- 完整 详细 地 说 明 域 环境 的 配置 ， 包 括 域 树 、 域 树 状 目录 、 
域 、 子 域 、 域 控制 器 、 只 器 【RODC) 、RODC 
阶段 式 安装 、 域 升级 、 自 动 安装 域 控 制 器 、 加 入 域 、 脱 
机 加 入 域 与 脱离 域 等 。 

-软件 部 署 的 完整 介绍 ， 包 含 软件 发 布 、 软 件 分 配 、 软 件 
升级 、 自 动 修复 部 署 的 软件 、Adobe Acrobat 的 部 署 、 
软件 重新 包装 等 ， 让 系统 管理 员 更 容易 管理 客户 端 所 需 的 
软件 。 

- 介绍 如 何 建立 信任 关系 ， 包 含 快捷 方式 信任 、 林 信任 、 
外 部 信任 等 ， 让 大 型 网 络 之 间 沟 通 更 加 容易 和 有 效 。 
-采用 Windows Server 2016 Hyper-V 的 虚拟 环境 ， 因 此 

只 要 一 台电 脑 就 可 以 建立 完整 的 学 习 环境 。 

-作者 以 多 年 的 实践 经 验 ， 详 细 列 举 实际 操作 时 的 心得 

和 技巧 ， 引 导 您 部 署 稳定 的 AD Ds 运 行 环境 。 
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Active Di rectory 域 服务 的 适用 范围 〈Scope) 

名 称 空间 (Nanespace) 

对 象 (Ch ect) 与 属性 (Attri bute) 

容器 (Contai ner) 与 组 织 单位 (Cganization Uni ts， 


域 树 〈Donai n Tree) 

信任 (Trust) 

林 (Forest) 

架构 (Schena) 

域 控制 器 (Donai n Controller) 
只 读 域 控 制 器 〈RODO 

可 重启 的 AD DB (Restartable AD D9) 
Acti ve Direct ory 回 收 站 

ADDS 的 复制 模式 

域 中 的 其 他 成 员 计算 机 

DNS 服务 器 

轻型 目录 访问 协议 〈LDAP) 

全 局 编 录 (Global Catalog) 

站 点 (Site) 

目录 分 区 (Directory Partitiom 


1.2， 域 功能 级 别 与 林 功 能 级 别 
1.2.1 域 功能 级 别 (Donai n Functi onal ity Level ) 
1.2. 2 林 功 能 级 别 (Forest Functi onal ity Level ) 
1.3 Active Direct ory 轻 型 目录 服务 
第 2 章 “建立 AD Ds 域 
2.1 建立 AD DS 域 前 的 准备 工作 
2.1.1 选择 适当 的 DNS 域名 


记 坟 


2 


准备 好 一 台 支 持 AD 的 DNS 服务 器 


2.1.3 选择 AD [5 数据 库 的 存储 位 置 
2.2 建立 AD DS 域 
2.3 ”确认 AD DS 域 是 否 正常 
2. 3. 1 检查 DNS 服务 器 内 的 记录 是 否 完备 
2. 3. 2 ”排除 注册 失败 的 问题 
2. 3. 3 检查 AD [8 数据 库 文件 与 SYSVQL 文 件 来 


2.3.4 
六 六 和 


新 夫 的 管理 工具 
查看 事件 日 志文 件 


2.4 提升 域 与 林 功 能 级 别 
2.5 新 建 额 外 域 控制 器 与 RODC 


六 乓 上 
过 全 汪 
志 们 玉 


安装 额外 域 控制 器 
利用 安装 媒体 来 安装 额外 域 控制 器 
更 改 RCDO 的 委派 与 密码 复制 策略 设置 


2.6_“RCDC 阶 段 式 安装 


2.6.1 
2.6.2 


建立 RCDC 账 户 
将 服务 器 附加 到 RCDC 几 户 


2.7 将 Wi ndovws 计 算 机 加 入 或 脱离 域 


人 
六 2 
之 地 3 
2.7.4 


将 Wndovs 计 算 机 加 入 域 

利用 已 加 入 域 的 计算 机 登录 
脱 机 加 入 域 

脱离 域 


2.8 在 域 成 员 计算 机 内 安装 AD [管理 工具 
2.9 删除 域 控制 器 与 域 

第 3 章 ” 域 用 户 与 组 账户 的 管理 
3.1 管理 域 用 户 账户 


坟 二 上 
训 灿 运 
床 二 六 
3.1.4 
未 二 
35T6 
信 击 学 


创建 组 织 单位 与 域 用 户 账户 
用 户 登录 账户 

创建 UPN 后 缀 
账户 的 常规 管理 工作 

域 用 户 账户 的 属性 设置 
搜索 用 户 账户 

域 控制 器 之 间 数 据 的 复制 


3.2 一 次 同时 新 建 多 个 用 户 账 户 


321 
二 是 
323 


3.3 域 组 账户 


3 
了 坟 2 
3 
3.3.4 
环 5 


利用 csvde. exe 来 新 建 用 户 账户 
利用 | di fde. exe 来 新 建 、 修 改 与 删除 用 户 账户 
利用 dsadd, exe 等 程序 添加 、 修 改 与 删除 用 户 账户 


域内 的 组 类 型 

组 的 作用 域 

域 组 的 创建 与 管理 
AD CS 内 置 的 组 
特殊 组 账户 


3.4 组 的 使 用 原则 


二 本 生 
3.4.2 
二 3 
3.4.4 


A G _ DL、F 厌 则 

A G G CDL、P 原 则 
A G 以 DL、P 原 则 
A G G LU cL、P 原 则 


第 4 章 ”利用 组 策略 管理 用 户 工作 环境 
4.1 组 策略 概述 
4.1.1 组 策略 的 功能 
4.1.2 组 策略 对 象 
4.1.3 策略 设置 与 首选 项 设置 
4.1.4 组 策略 的 应 用 时 机 
4.2 策略 设置 实例 演练 


4.2.1 策略 设置 实例 ; 
4.2. 2 策略 设置 实例 
4.3 首选 项 设置 实例 演 乡 
4. 3.1 首选 项 设置 实例 演练 一 
4.3. 2 首选 项 设置 实例 演练 二 
4.4 组 策略 的 处 理 规则 
4.4.1 一 般 的 继承 与 处 理 规则 
4.4 2 例外 的 继承 设置 
4 4 3 特殊 的 处 理 设置 
4 4 4 更 改 管理 GPO 的 域 控制 器 
4 .4 5 更 改组 策略 的 应 用 间隔 时 间 
4.5 利用 组 策略 来 管理 计算 机 与 用 户 环境 
4 .5.1 计算 机 配置 的 管理 模板 策略 
4. .5.2 用 户 配置 的 管理 模板 策略 
4.5.3 账户 策略 
4 5.4 用 户 权限 分 配 策略 
4. 5. 5 “安全 选项 策略 
4 .5.6 登录 /注销 、 局 动 /关机 脚本 
4 .5.7 文件 夹 重 定向 
4.6 利用 组 策略 限制 访问 可 移动 存储 设备 
4.7 VM 筛选 器 
4.8 组 策略 建 模 与 组 策略 结 
4.9 组 策略 的 委派 管理 
4 .9.1 站 点 、 域 或 组 织 单位 的 GPC 逢 接 委 派 
4 .9.2 编辑 GPO 的 委派 
4.9.3 新 建 GPO 的 委派 
4.10 Starter GPO 的 设置 与 使 用 
第 5 章 “利用 组 策略 部 署 软件 
5.1 软件 部 署 概述 
5.1. 1 将 软件 分 配给 用 户 
5.1. 2 将 软件 分 配给 计算 机 
5.1. 3 将 软件 发 布 给 用 户 
5.1.4 自动 修复 软件 
5.1.5 删除 软件 


: 计算 机 配置 
: 用 户 配置 


5.2 将 软件 发 布 给 用 户 
2.1 发 布 软件 
2. 2 客户 端 安装 被 发 布 的 软件 
2.3 测试 自动 修复 软件 的 功能 
2. 4 ”取消 已 发 布 的 软件 
5.3 ”将 软件 分 配给 用 户 或 计算 机 
5. 3. 1 分 配给 用 户 
5. 3. 2 ”分 配给 计算 机 
5.4 将 软件 升级 
5.5 部 署 Adobe Acrobat 
5. 5.1 部 署 基础 版 
5.5.2 部 署 更 新 程序 
第 6 章 ”限制 软件 的 运行 
6.1 软件 限制 策略 概述 
6.1. 1 哈 希 规则 
6. 1 2 ”证书 规 则 
6.13 路 径 规 则 
6.1.4 网 络 区 域 规则 
6.1.5 规则 的 优先 级 
6.2， 司 用 软件 限制 策略 
6.2.1 建立 哈 希 规则 
6.2.2 建立 路 径 规 则 
6. 2.3 ”建立 证 书 规则 
6. 2.4 建立 网 络 区 域 规则 


6. 2. 5 不 要 将 软件 限制 策略 应 用 到 本 地 系统 管理 员 


第 7 章 “建立 域 树 与 林 
7.1 建立 第 一 个 域 
7.2 建立 子 域 
7.3 建立 林 中 的 第 二 个 域 树 
7.3.1 选择 适当 的 DNS 架构 
7. 3.2 建立 第 二 个 域 树 
7.4 删除 子 域 与 域 树 
7.5 更改 域 控制 器 的 计算 机 名 称 
第 8 章 ”管理 域 与 林 信 任 
8.1 域 与 林 信任 概述 
8.1.1 信任 域 与 受信 任 域 
8.1. 2 ” 跨 域 访问 资源 的 流程 
8.1.3 信任 的 种 类 
8.1.4 建立 信任 前 的 注意 如 
8.2 建立 快捷 方式 信任 
8.3 建立 林 信 任 


8.3.1 建立 林 信任 前 的 注意 寻 

8. 3. 2 ”开始 建立 林 信任 

8. 3.3 选择 性 身份 验证 设置 
8.4 建立 外 部 信 
8.5 管理 与 删除 信任 

8.5.1 信任 的 管理 

8. 5. 2 ”信任 的 删除 


类 
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第 9 章 ”AD 55 数据 库 的 复制 


9.1 站 点 与 AD [5 数据 库 的 复制 
9.1. 1 同一 个 站 点 之 间 的 复制 
9.1. 2 不 同 站 点 之 间 的 复制 
9.1.3 目录 分 区 与 复制 拓扑 
9.1.4 复制 通信 协议 
9. 2 默认 站 点 的 管理 
9.2. 1 默认 的 站 点 
9.2. 2 Servers 文 件 夹 与 复制 设置 
9.3 利用 站 点 来 管理 AD DS 复 制 
9. 3. 1 建立 站 点 与 子 网 
9. 3. 2 ”建立 站 点 链接 
9. 3.3 ”将 域 控制 器 移动 到 所 属 的 站 点 
9.3.4 指定 首选 的 bri dgehead 有 最 务 器 
9. 3. 5 ”站 点 链接 与 AD DS 数 据 库 的 复制 设置 
9.3.6 连接 桥 
9. 3.7 ”站 点 链接 桥 的 两 个 范例 讨论 
9.4 管理 全 局 编 录 服务 器 
9. 4. 1 向 全 局 编 录 内 添加 属性 
9. 4 2 ”全 局 编 录 的 功能 
9.4. 3 通用 组 成 员 缓存 
9.5 解决 AD DS 复 制 冲突 的 问题 
9. 5.1 属性 标记 
9. 5. 2 ”冲突 的 种 类 


第 10 章 ”操作 主机 的 管理 


10.1 操作 主机 概述 
10.1.1 架构 操作 主机 
10.1.2 域 命名 操作 主机 
10.1.3 RI r 噪 作 主机 
10. 1.4 “PDC 模 拟 器 操作 主机 
10.1.5 基础 结构 操作 主机 
10.2 ”操作 主机 的 放置 优化 
10.2.1 基础 结构 操作 主机 的 放置 
10. 2. 2”PDC 模 拟 器 操作 主机 的 放置 


10.2.3 ” 林 级 别 操作 主机 的 放置 
10.2.4 域 级 别 操作 主机 的 放置 
10.3 找 出 扮演 操作 主机 角色 的 域 控制 器 
10.3.1 利用 管理 控制 台 找 出 扮演 操作 主机 的 域 控制 器 
10.3.2 利用 命令 找 出 扮演 操作 主机 的 域 控制 器 
10.4 ”转移 操作 主机 角色 
10.4.1 利用 管理 控制 台 
10.4.2 利用 Windovs PoverShelL 命 倒 
10.5 夺取 操作 主机 角色 
10. 5.1 操作 主机 停摆 所 造成 的 影响 
10. 5.2 夺取 操作 主机 角色 实例 演练 
第 1] 章 “AD DS 的 维护 
11.1 系统 状态 概述 
11.1.1 ADDS 数 据 库 
11.1.2 SYSVdL 文 件 夹 
11.2 备份 AD DE 
11.2.1 安装 Wndovs Server Backup 功 能 
11.2.2 备份 系统 状态 
11.3 还 原 AD [6 
11.3.1 进入 目录 服务 修复 模式 的 方法 
11.3.2 执行 AD DS 的 非 授权 还 原 
11.3.3 针对 被 删除 的 AD Ds 对 象 执行 授权 还 原 
11.4 AD 55 数据库 的 移动 与 整理 
11.4.1 可 重新 后 动 的 ADDS (Rest artable ADDS) 
11.4.2 移动 AD DS 数 据 库 文件 
11.4.3 重 整 AD DS 数 据 库 
11.5 ， 重 置 * 目录 服务 修复 模式 ”的 系统 管理 员 密码 
11.6 更 改 可 重新 启动 的 AD [的 登录 设置 
117 Active Directory 回 收 站 
第 12 章 ”将 资源 发 布 到 AD DS 
12.1 将 共享 文件 夹 发 布 到 AD DS 
12.1.1 利用 Acti ve Di rectory 用 户 和 计算 机 控制 台 
12.1.2 利用 计算 机 管理 控制 台 
12.2 查找 AD [内 的 资源 
12.2.1 通过 网 络 
12.2.2 通过 Acti ve Di rectory 用 户 和 计算 机 控制 台 
12.3 ”将 共享 打印 机 发 布 到 AD DS 
12.3.1 发 布 打印 机 
12.3.2 通过 AD DS 查 找 共享 打印 机 
12.3.3 利用 打印 机 位 置 来 查找 打印 机 
第 13 章 ”自动 信任 根 C 


13.1 自动 信任 CA 的 设置 准则 


13.2 自动 
13.2.1 下 载 独立 根 CA 的 证 书 并 保存 
13.2.2 将 CA 证 书 导入 到 受信 任 的 根 证 书 颁发 机 构 


内 部 的 独立 CA 


目 


13.3 自动 信任 外 部 的 CA 


13.3.1 下 载 独立 根 CA 的 证 书 并 保存 
13.3.2 建立 证 书信 任 列表 (CTU) 


附录 A ADDS 与 防火 墙 


A1 


A2 


A3 


A 2. 1 限制 所 有 服务 的 动态 RPC 端 口 范 | 
A 2. 2 限制 AD DS 数 据 库 复制 使 用 指定 的 静态 端口 
A 2. 3 ”限制 FRS 使 用 指定 的 静态 端口 
A 2. 4 限制 DFS 使 用 指定 的 静态 端口 


A 3.1 1PSsec 所 使 用 的 通信 
A 3.2 PPTP VPN 折 使 用 的 通信 协议 与 端口 
A 3.3 LTP/IPSec 所 使 用 的 通信 协议 与 端口 


AD DS 相 关 的 端口 


Al.1 将 客户 端 计算 机 加 入 域 、 用 户 登 录 时 会 用 到 的 端口 
A 1. 2 计算 机 登录 时 会 用 到 的 端口 

A1.3 建立 域 
A 1 4 验证 域 信 任 时 会 用 到 的 端口 

A1.5 访问 文件 资源 时 会 用 到 的 端口 

A 1.6 执行 DNS 查询 时 会 用 到 的 端口 

A 1.7 执行 AD [数据库 复 制 时 会 用 到 的 端口 
A1.8 文件 复制 服务 (FRS) 会 用 到 的 端口 
A1.9 分 布 式 文件 系统 〈DFS) 会 用 到 的 端口 
A 1 10 其 他 可 能 需要 开放 的 端口 


任 时 会 用 到 的 端口 


限制 动态 RPC 端 口 的 使 用 范 


1 PSec 与 VPN 汕 口 
议 与 端口 


附录 B Ser ver Core 与 Nbno 服 务 器 


B1 
BB2 


B3 


Server Core 服 务 器 概述 
Server Core 服 务 器 的 基本 设置 


B 2. 1 更 改 计算 机 名 称 

B 2.2 更 改 | P 地 址 

B 2. 3 后 用 Server Core 服 务 器 

B 2.4 加 入 域 

B 2.5 将 域 用 户 加 入 本 地 Admini strators 组 
B 2. 6 更 改 日 期 与 时 间 


在 Server Core 服 务 器 内 安装 角色 与 功能 


B 3. 1 查看 所 有 角色 与 功能 的 状态 
B 3. 2 ”DNS 服务 器 角色 
B 3. 3 DHCP8 务 器 角色 


封底 


B4 


攻 专 


B6 


B 3.4 文件 服务 角色 

B 3.5 Hyper-V 角 色 

B 3.6 打印 服务 角色 

B3.7 Active Directory 证 书 服 务 (AD CS) 角色 
B3.8 Active Directory 域 服务 (AD D6) 角色 

B 3. 9 Veb 服 务 器 (11S) 角色 

远程 管理 Server Cor e 服 务 器 

B 4. 1 通过 服务 器 管理 器 来 管理 Server Core 服 务 器 
B 4. 2 ”通过 MVC 管 理 控制 台 来 管理 Server Cor e 服 务 器 
B 4. 3 ”通过 远程 桌面 来 管理 Ser ver Core 服 务 器 

B 4 4 硬件 设备 的 安装 

在 虚拟 机 内 运行 的 Nano 服 务 器 

B 5. 1 建立 供 虚拟 机 使 用 的 Nano 服 务 器 映像 文件 

B 5. 2 ”建立 与 后 动 Iano 服 务 器 的 虚拟 机 

B .5.3 将 Nbno 服 务 器 加 入 域 

在 物理 机 内 运行 的 Nano 服 务 器 

B 6. 1 建立 供 物理 机 使 用 的 Nano 服 务 器 映像 文件 

B 6. 2 利用 WinPE 司 动 计算 机 与 安装 Nano 服 务 器 


